npm 安全十条最佳实践

最新推荐文章于 2023-07-11 09:15:40 发布
最新推荐文章于 2023-07-11 09:15:40 发布
阅读量277 收藏
点赞数
文章标签: 编程语言 java nodejs npm css
原文链接:https://mp.weixin.qq.com/s?__biz=MzUxNzk1MjQ0Ng==&mid=2247501087&idx=3&sn=28e69c238373a72a10164152d1911f89&chksm=f992c3cecee54ad80f1d3f23f98fd3350457a2b84ca74e34a607a6822354ca3fdfb40dfdf46e&scene=126&&sessionid=0
版权

大厂技术  高级前端  Node进阶

点击上方 程序员成长指北,关注公众号

回复1,加入高级Node交流群

最近一年,npm 频发模块安全问题,让我们防不胜防。作为前端或者后端开发者,考虑 npm 安全性是很重要的。开源代码的安全审计使我们在应用安全中很重要的一部分,而 npm 包安全应该是首要关注的问题。正如我们过去一年看到的,npm 甚至 npm 命令行工具都是易受攻击的。

Synk 作为 Node.js 安全服务商,针对开源维护人员和开发人员的 npm 安全性和工作效率的平衡,整理了一份备忘录。让我们从 10 个 npm 安全最佳实践列表开始。

1. 不要把秘钥发到 npm 上

2. 使用 lockfile

3. 通过 --ignore-scripts 来降低受攻击的几率

4. 评估 npm 项目的健康度

5. 检查依赖的开源项目的缺陷

6. 使用本地 npm 代理

7. 负责任地披露安全漏洞

8. 开启两步验证

9. 使用 npm 作者 token

10. 理解模块命名约定和 Typosquatting 攻击

每一条的具体内容,可以参见原文。另外,可以在原文下载备忘录,打出来贴在工位上,实时提醒自己要注意安全:)

Node 社群


我组建了一个氛围特别好的 Node.js 社群,里面有很多 Node.js小伙伴,如果你对Node.js学习感兴趣的话(后续有计划也可以),我们可以一起进行Node.js相关的交流、学习、共建。下方加 考拉 好友回复「Node」即可。

   “分享、点赞、在看” 支持一波👍
傲娇的koala
关注
npm 安装指定版本(按版本安装)
日常笔记/总结/系列知识梳理
08-13 22万+
注解:比如, babel 是发布时,将 ES6 代码编译成 ES5 ,那么 babel 就是devDependencies。Vue项目中vue-router,由于发布之后还是依赖vue-router,所以是dependencies。
windows环境下 npm 修改全局安装路径最佳实践 及vue全局安装
前端琅琊阁
11-12 2938
网上搜到的方案非常多,但我只有两步,你成功! 1. 设置 当前全局安装路径(查看当前全局安装路径npm root -g) 例如:npm config set prefix "D:\Program Files\nodejs\node_modules\node_global"            npm config set cache "D:\Program Files\nodejs\...
npmsafe:使用 npm 安全
06-17
npmsafe 使用 npm 安全 问题 npm 存储库可能含一些有害的, 这些可能会保护它们使用一些与流行相似的词, 例如goodjs到good-js ,但good-js可能含有害代码。 解决方案 使用npmsafe代替npm 獾 安装 通过 npmnpm i npmsafe -g 通过 GitHub: git clone git@github.com:ueqt/npmsafe.git cd npmsafe npm link 卸载 npm remove npmsafe -g 发布 npm publish 用法 npmsafe xxx 支持 npm 支持的所有命令和参数。 例子: $ npmsafe install express npmsafe check cd 到含 package.json 的文件夹,此命令将检查 package.json 中的。 如
NPM发布新的安全功能
啊啊啊啊2
10-04 204
近日,在Vancouver BC举行的Node.js互动会议上,npm公司宣布推出新的安全功能,旨在使npm注册表更加安全,防止攻击。\u0026#xD;\n\u0026#xD;\n鉴于其广泛使用和JavaScript开发人员重度依赖npm软件,注册表的安全性是至关重要的。如果攻击者获得被广泛引用的软件安全凭证,将会造成极大的危害。\u0026#xD;\n\u0026#xD;\n新的npm令...
了解NPM安全性[深入研究]
编程故事的地方
04-08 889
Node Package Manager(缩写为NPM)是Node.js生态系统中软件的主要注册中心,并且已成为技术领域中最大的软件注册中心之一。 它为JavaScript开发人员提供了很多选择,可以在软件开发过程中完成特定任务,并使开发人员可以专注于真正重要的事情,即应用程序逻辑的开发。 因此,软件团队可以轻松快速地移动并在短时间内完成更多工作 NPM软件可通过Web轻松获得。 因此...
npm 更新 npm_了解NPM安全性[深入研究]
编程故事的地方
04-08 366
npm 更新 npm Node Package Manager(缩写为NPM)是Node.js生态系统中软件的首要注册中心,并且已成为技术领域中最大的软件注册中心之一。 它为JavaScript开发人员提供了许多选择,可以在软件开发过程中完成特定任务,并使开发人员可以专注于真正重要的事情,即应用程序逻辑的开发。 因此,软件团队可以轻松快速地移动并在短时间内完成更多工作 NPM软件...
npm 更新_npm安全困扰:仅有 9.27% 的 npm 开发者使用 2FA
weixin_39970369的博客
12-05 224
作为 JavaScript 生态系统中最大的管理器,npm 正遭遇安全困扰。其开发人员中,仅有 9.27% 的人使用 2FA,这意味着绝大多数 npm 开发人员的账户处于不安全状态。一旦黑客窃取开发人员账户,后果相当严重。近日,npm 安全副总裁 Adam Baldwin 发推文称,npm JavaScript 库的所有维护者中,只有 9.27% 的人使用 2FA(双因素认证)来保护其账户。这一...
npm-module-boilerplate:具有ES6功能和所有最佳实践npm模块的样板
02-04
现成的样板设置具有所有最佳实践,可以启动npm / node模块开发。 快乐黑客=) 产品特点 ES6 / ESNext-编写ES6代码, Babel会将其转换为ES5以实现向后兼容性 测试-伊斯坦布尔的摩卡咖啡 林特-预配置ESlint与制作的...
npm-lockfile:安全地生成 npm 锁文件并将其输出到您选择的文件名
08-04
npm 锁文件是 Node.js 开发中不可或缺的一部分,主要用于确保项目的依赖关系在不同环境中的一致性。`npm-lockfile` 是一个 ...在实际工作中,不断探索和学习新的 npm 工具和最佳实践,将是提升开发效率的关键。
基于webpack和npm的前端组件化实践.pdf
08-28
富途web前端负责⼈TooBug在GMTC2017全球移动技术大会上做了主题为《基于webpack和npm的前端组件化实践》的分享,就富途组件化的问题,组件化目标,跨项目复用概念进行了深入的分享
npm 生态系统存在巨大的安全隐患
最新发布
LuckyWinty的博客
07-11 123
大家好,我是 Winty。最近,曾经在 2019 - 2022 年担任 npm 研发经理的 Darcy Clarke 公开吐槽了 npm 生态系统的安全性,称其一直具有巨大的安全隐患。简单来讲:一个 npm 的 manifest 是独立于其 tarball 发布的,manifest 不会完全根据 tarball 的内容进行验证,生态系统普遍会默认认为 manifest 和 tarball 的内容...
npm发布公共的流程和踩坑
weixin_44476861的博客
11-12 1847
首先说一下npm私有仓库和npm公有仓库。 为什么要搭建自己或者自己企业的npm仓库? 在日常开发中,开发的项目越来越多,可复用的组件也越来越多。如果不搭建自己的npm仓库,在别的项目开发中发现可复用的组件,还需要往回找以前开发的项目,将组件复制过来,如果组件耦合比较严重,还需要对组件进行修改。 建立自己的npm仓库,可以i在开发中对自己的组件降低代码依赖度,然后将自己的组件发布到npm上,以后需要用到该组件的时候直接npm install 一下你的组件就行了,节约了很多开发经历和时间。 许多企业有搭建自己
idea中npm安装总结与node-sass依赖安装等常见问题避坑总结
httpmc2018的博客
12-21 9603
首先安装npmnpm install 然后安装淘宝镜像:npm i -g cnpm --registry=https://registry.npm.taobao.org 安装Vue脚手架:vue-cli 安装webpack:cnpm install -g webpack 执行运行命令:npm run serve
你的应用安全吗?--用 Xray 和 Synk 保驾护航
weixin_33794672的博客
12-14 245
背景在当下软件应用的开发过程当中,自研的内部代码所占的比例逐步地减少,开源的框架和共用库已经得到了广泛的引用。如下图所示,在一个 Kubernetes 部署的应用当中,我们自己开发代码所占的比例可能连 0.1% 都不到。开源软件能够帮助开发者共享彼此的成果,使得我们能够快速复用其他人开发并已得到验证的软件库,从而能够集中精力专注于创新性的工作。然而,开源软件的大量引用也给我们...
一个比NPM更快更安全可靠的JavaScript管理工具——Yarn
尐轩web前端网络日志
02-09 3554
上一篇简单介绍了NPM管理工具 在这篇文章中 我想给大家介绍一个取代使用NPM管理工具——Yarn 以及它与NPM之间的差异简介这个就是yarn的logo,应该是一只猫 Yarn的官网:传送门 来到官网,映入眼帘的就是这么几个大字(大单词~)富强,民主,文明,和谐…… 那是不可能的~ 这行英语的意思是: 极速、可靠、安全的依赖关系管理Yarn是Facebook、Google、Ex
npm 两步验证
MichaelAn的博客
02-13 1142
npm 两步验证 问题 近期发布版本时,在 cli npm login登录后,输入正确的用户名和密码,提示需要一个 Enter one-time password from your authenticator app,无法发。 在网页上操作,登录时也需要输入临时的验证码(one-time password),无法...
Firebase之npm生成RSA加密密钥API
Aftery的博客
02-28 944
此篇文章重点讲述如何生成RSA256密钥API,在开发当中,Google或者做智能化设备时,总需要一些加密措施,归纳两个方法: 一:keypair(npm install keypair进行安装) 1.package.json //先要把node.js,npm安装完成 "keypair": "^1.0.1" 2.index.js //导入引入npm密钥生成API const keypair =...
NPM 2FA双重认证的设置方法
大剑师兰特的GIS世界
12-28 1117
NPM在使用用户名和密码登录后,他觉得还不是很安全,需要用一个手机软件来生成一个随机验证码,两者同步,来做二次验证。类似于手机银行的优盾或者验证码验证。双重验证:标准验证方法,其中一个因素是密码。使用用户名和密码登录后,可以批准通知或输入提供的验证码。
新鲜出炉的2020年阿里前端校招笔试10道选择题
javajavajava
09-20 4027
听说昨天有个学弟参加了2020年阿里的前端校招笔试,做为一个前端怎么能错过这种机会,今天赶紧让他把题目发过来研究一下,这里贴出选择题供大家共同学习,因为没拿到标准答案,题目是我自己做的不保证都对,欢迎大家指正探讨,有标准答案了也会更新。 1. 以下关于Javascript执行引擎描述正确的是: ECMAScript 2015中规定了执行引擎需要实现EventLoop机制。 V8作为最先进的J...
Node.js NPM 命令详解与实践
npm 常用命令详解(小结) - 一篇关于Node.js管理器npm的基础命令介绍,适合新手学习,以Windows平台和gulp为例进行教学。” 本文主要介绍了Node.js的管理器npm的一些常用命令,对于初学者来说是很好的学习资料...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值