Säkerhet i Javascript-paket

I slutet av november 2018 rapporterade GitHub-gemenskapen om en allvarlig sårbarhet i händelse-ström - paket som hjälper till att arbeta med nod evenemang på ett mer effektivt sätt. Det var ganska populärt, eftersom antalet nedladdningar under den specifika perioden uppgick till över 2,2 miljoner per vecka (jämfört med React med 3,7 miljoner). Event-stream, liksom dess beroenden, var beroende av ett annat bibliotek - flatmap-steam, som råkade ha uppdaterats med en skadlig kod med kryptopocket. Det gjorde det möjligt att stjäla privata nycklar och andra detaljer från användarnas konton på maskiner där paketet var buntat.

Så småningom togs flatmap-stream bort från NPM, vilket skapade tidsmässiga problem med många andra bibliotek. I maj samma år hittade gemenskapen en bakdörr inom den getcookie paketet, som också var en del av många andra beroenden. Sådana exempel kan mångfaldigas, vilket visar att det är viktigt att vara uppmärksam på beroenden som installeras i ett projektinte bara från den Javascript perspektiv, men också i ett allmänt sammanhang.

Förlita sig på officiella lösningar och stora grupper

Så långt det är möjligt är det viktigt att förlita sig på officiella lösningar i ditt projekt. De är inte bara mindre sårbara på grund av en bättre utvecklingsprocess. En stor community, som vanligtvis kommer med ett bättre varumärke, hjälper till att identifiera problem mycket snabbare och, vad som är ännu viktigare - hitta bra lösningar.

Använd NPM-trender

Bild 1 Webpack NPM trend.

Fig. 2. Händelse-ström NPM trend.

Ibland kanske kunskapen om paketets nuvarande tillstånd inte representerar dess förflutna. En snabb titt på npm:s trenddiagram kan visa dig en faktisk paketutveckling. Det visar inte bara stora toppar, där någon sårbarhet kan hittas, utan det allmänna tillståndet för ett visst paket (OBS: stora toppar på google-trender nära 24 - 30 december representerar semestersäsongen, vilket inte nödvändigtvis representerar ett problem). Som ett exempel, ta en titt på figur 1 - en representativ trend för nedladdning av Webpack per vecka. Du kommer att se en stabil tillväxt utan några brytpunkter, vilket kan tyda på att Webpack är ett stabilt och säkert paket att använda. Å andra sidan ser du i figur 2 en stor nedgång i november, vilket är en tydlig signal om att något fel kan ha hänt under den perioden (vilket vi redan vet är sant).

Revision av beroendeförhållanden

Det bästa och mest tillförlitliga sättet att verifiera statusen för dina beroenden är att utföra en revision. Det här kommandot är nu tillgängligt för både yarn och npm, även om det kräver deras senaste versioner. Det skickar en lista över aktuella beroenden till en lämplig slutpunkt och returnerar information som innehåller deras aktuella sårbarheter och andra detaljer om användning, inklusive hänvisning till dokumentation. (figur 3).

Fig. 3. Exempel på resultat av kommandot npm audit. källa: https://docs.npmjs.com

Att hantera beroenden i Javascript är inte en lätt uppgift. Antalet lösningar växer för varje dag, så kom ihåg att välja dina beroenden klokt och noggrant. Fortsätt att granska ditt nuvarande projekt och uppdatera dina paket regelbundet.

För att lära dig mer om javascript-beroenden och hur du löser några av deras problem, vänligen kontrollera den här artikeln.

Källa:

1. https://github.com/dominictarr/event-stream/issues/116
2. https://blog.npmjs.org/post/180565383195/details-about-the-event-stream-incident
3. https://blog.npmjs.org/post/173526807575/reported-malicious-module-getcookies
4. https://docs.npmjs.com/auditing-package-dependencies-for-security-vulnerabilities
5. https://docs.npmjs.com/cli/audit
6. https://yarnpkg.com/lang/en/docs/cli/audit/