GÅ TILLBAKA
För varje dag som går ökar antalet Javascript-paket. Det är resultatet av en gemenskapsaktivitet, som å ena sidan kräver nya lösningar, å andra sidan - genererar dem som en form av självutveckling eller förverkligande. En sådan stor tillväxt öppnar nya dörrar och möjligheter, men medför också fara, som varje utvecklare måste vara medveten om.
I slutet av november 2018 rapporterade GitHub-gemenskapen om en allvarlig sårbarhet i händelse-ström - paket som hjälper till att arbeta med nod evenemang på ett mer effektivt sätt. Det var ganska populärt, eftersom antalet nedladdningar under den specifika perioden uppgick till över 2,2 miljoner per vecka (jämfört med React med 3,7 miljoner). Event-stream, liksom dess beroenden, var beroende av ett annat bibliotek - flatmap-steam, som råkade ha uppdaterats med en skadlig kod med kryptopocket. Det gjorde det möjligt att stjäla privata nycklar och andra detaljer från användarnas konton på maskiner där paketet var buntat.
Så småningom togs flatmap-stream bort från NPM, vilket skapade tidsmässiga problem med många andra bibliotek. I maj samma år hittade gemenskapen en bakdörr inom den getcookie paketet, som också var en del av många andra beroenden. Sådana exempel kan mångfaldigas, vilket visar att det är viktigt att vara uppmärksam på beroenden som installeras i ett projektinte bara från den Javascript perspektiv, men också i ett allmänt sammanhang.
Så långt det är möjligt är det viktigt att förlita sig på officiella lösningar i ditt projekt. De är inte bara mindre sårbara på grund av en bättre utvecklingsprocess. En stor community, som vanligtvis kommer med ett bättre varumärke, hjälper till att identifiera problem mycket snabbare och, vad som är ännu viktigare - hitta bra lösningar.
Bild 1 Webpack NPM trend.
Fig. 2. Händelse-ström NPM trend.
Ibland kanske kunskapen om paketets nuvarande tillstånd inte representerar dess förflutna. En snabb titt på npm:s trenddiagram kan visa dig en faktisk paketutveckling. Det visar inte bara stora toppar, där någon sårbarhet kan hittas, utan det allmänna tillståndet för ett visst paket (OBS: stora toppar på google-trender nära 24 - 30 december representerar semestersäsongen, vilket inte nödvändigtvis representerar ett problem). Som ett exempel, ta en titt på figur 1 - en representativ trend för nedladdning av Webpack per vecka. Du kommer att se en stabil tillväxt utan några brytpunkter, vilket kan tyda på att Webpack är ett stabilt och säkert paket att använda. Å andra sidan ser du i figur 2 en stor nedgång i november, vilket är en tydlig signal om att något fel kan ha hänt under den perioden (vilket vi redan vet är sant).
Det bästa och mest tillförlitliga sättet att verifiera statusen för dina beroenden är att utföra en revision. Det här kommandot är nu tillgängligt för både yarn och npm, även om det kräver deras senaste versioner. Det skickar en lista över aktuella beroenden till en lämplig slutpunkt och returnerar information som innehåller deras aktuella sårbarheter och andra detaljer om användning, inklusive hänvisning till dokumentation. (figur 3).
Fig. 3. Exempel på resultat av kommandot npm audit. källa: https://docs.npmjs.com
Att hantera beroenden i Javascript är inte en lätt uppgift. Antalet lösningar växer för varje dag, så kom ihåg att välja dina beroenden klokt och noggrant. Fortsätt att granska ditt nuvarande projekt och uppdatera dina paket regelbundet.
För att lära dig mer om javascript-beroenden och hur du löser några av deras problem, vänligen kontrollera den här artikeln.
Källa:
Swedish 
English 
German 
Danish 
Norwegian 
Finnish 
French 
Arabic 
Italian 
Japanese 
Korean 
Polish