Эксклюзивный Socket нашел способ защитить разработчиков от npm, недостаточно безопасного менеджера пакетов JavaScript GitHub, завернув его в одеяло безопасности.
npm, которым управлял NPM до тех пор, пока в 2020 году компания Microsoft не была приобретена GitHub, содержит пакеты программного обеспечения для экосистемы JavaScript. По его собственным словам, это «крупнейший в мире реестр программного обеспечения».
В последние несколько лет злоумышленники все чаще сосредотачивались на компрометации реестров пакетов, таких как npm, в ходе так называемой атаки на цепочку поставок. Подрыв популярной библиотеки программного обеспечения может привести к широкому вирусному распространению.
Те, кто работает с реестром npm, на протяжении многих лет внедряли различные средства защиты, такие как npm audit, команда сканирования уязвимостей в интерфейсе командной строки npm (CLI). Но реализация инструмента оставляет желать лучшего, и разработчики часто игнорируют предупреждающие сообщения аудита, особенно если автоматическое решение проблем не работает.
Socket создала собственную систему сканирования уязвимостей и в прошлом году предоставила ее бесплатно (с платными уровнями для команд и организаций) для проектов с открытым исходным кодом. Его сканер запускается как приложение GitHub в репозиториях кода при внесении изменений. Он выявляет больше проблем, чем аудит npm, и охватывает не только риски цепочки поставок, но и проблемы с качеством, обслуживанием, уязвимостями и лицензиями.
Звоните в некоторые изменения
Но сканер Socket теперь также доступен в виде интерфейса командной строки, который разработчики могут установить на свои машины. В четверг Socket обновил свой интерфейс командной строки с помощью safe npm команда, которая защищает разработчиков всякий раз, когда они вызывают npm install или npm uninstallкоторый извращенно может устанавливать пакеты на фоне удаления других.
“npm создает то, что называется “идеальным деревом” для данного package.json», — объяснил Феросс Абухадие, рассказав Регистр. «Поэтому, удалив пакет, вы можете фактически изменить то, что представляет собой идеальное дерево. Удаление пакета может снять ограничение, которое сохраняет пакет в более старой версии, поэтому тогда npm может обновить эти пакеты до более идеальной/последней версии».
Причиной этого беспокойства является то, что пакеты JavaScript, распространяемые через npm, могут быть скомпрометированы. По словам Абухадидже, только за последние 30 дней из Socket было удалено более 200 пакетов.
Абухадиджех сказал, что средний пакет npm имеет 79 транзитивных зависимостей, поэтому установка одного из них, вероятно, принесет с собой десятки дополнительных пакетов. И проверять все это вручную — это не то, на что у большинства людей есть возможность, время или желание.
При использовании npm audit могут обнаруживать известные уязвимости, Socket CLI теперь работает глубже благодаря добавлению safe npm команда. Его можно настроить, запустив npm install -g @socketsecurity/cliкоторый добавляет команду сокета в PATH переменная окружения, указывающая, где можно найти исполняемые программы.
После этого разработчики могут вызвать инструмент, введя socket npm install вместо npm install. И псевдоним команды может сделать это еще более удобным. Организация рекомендует добавить alias npm="socket npm" к их .bashrc профиль (или .zshrcили любую другую оболочку, которая используется), чтобы знакомый npm install вызов прозрачно передается интерфейсу командной строки Socket.
Демонстрация взаимодействия командной строки npm с безопасностью Socket на
“Розетки safe npm инструмент прозрачно оборачивает npm команды и защищает разработчика от вредоносных программ, опечаток, сценариев установки, телеметрии, протестного ПО и многого другого — всего 11 проблем», — говорится в сообщении.
Этот подход также может защитить от более сложных команд, таких как npx и npm execкоторые немедленно выполняют загруженный код.
«Из-за частого использования этих команд мы позаботились о том, чтобы добавить защиту и для этих команд, чтобы вы случайно не запустили плохой код, скопировав и вставив npx команду из файла README или ответа StackOverflow и получить компрометацию», — пообещал бизнес.
асно
торый используется для защиты npm от атак на уровне инструмента. Разработчики могут выбрать свой уровень защиты, когда сканировали свою версию npm, используя Socket CLI. Кроме того, он предоставляет простую привязку к облачному сервису качества кода, а затем вливается в реестр пакетов быстрее и, собственно, более безоп
