npq

بأمان* قم بتثبيت الحزم باستخدام NPM/YARN عن طريق تدقيقها كجزء من عملية التثبيت الخاصة بك

التغطية الإعلامية حول NPQ:

• كما ذكر في كتاب Thomas Gentilhomme ، أصبح مطور Node.JS
• Tao Bojlén's A Trust for NPM
• قائمة زاندر المفضلة لأدوات سطر الأوامر
• RAN BAR ZIK's NPQ Review لتثبيت وحدات آمنة
• كيفية تثبيت حزم Ostechnix بأمان باستخدام NPM أو الغزل على Linux
• DeBricked كيفية تقييم أمان تبعيات حزمة NPM الخاصة بك
• JavaScript January Advent Calendar على Open Source من Heaven ، وحدات من الجحيم
• وحدات Liran Tal الضارة - ما تحتاج إلى معرفته عند تثبيت حزم NPM

بمجرد تثبيت NPQ ، يمكنك تثبيت الحزم بأمان:

npq install express

ستقوم npq بتنفيذ الخطوات التالية إلى العقلانية ، تحقق من أن الحزمة آمنة من خلال استخدام الاستدلال النحوي والاستعلام عن قاعدة بيانات CVE:

• راجع قاعدة بيانات Snyk.io من نقاط الضعف التي تم الكشف عنها علنًا للتحقق مما إذا كانت ثغرة أمنية موجودة لهذه الحزمة وإصدارها.
• عصر الحزمة على NPM
• حزمة تنزيل عدد مقياس شعبية
• الحزمة لديها ملف readme
• الحزمة لديها ملف ترخيص
• الحزمة لديها البرامج النصية قبل/بعد تثبيت

إذا تمت مطالبة NPQ بالمتابعة مع التثبيت ، فإنها ببساطة تسلم مهمة تثبيت الحزمة الفعلية إلى مدير الحزمة (NPM افتراضيًا).

بأمان* - ليس هناك سلامة مضمونة ؛ لا يزال من الممكن أن توجد حزمة ضارة أو ضعيفة لا تحتوي على نقاط الضعف الأمنية التي تم الكشف عنها علنًا وتحتي بفحوصات NPQ.

npm install -g npq

ملاحظة: نوصي بالتثبيت مع npm بدلاً من yarn . وبهذه الطريقة ، يمكن npq تثبيت أسماء الأسماء الأسماء الخاصة بك تلقائيًا.

npq install express

نظرًا لأن npq عبارة عن خطوة مسبقة للتأكد من أن حزمة NPM التي تقوم بتثبيتها آمنة ، يمكنك تضمينها بأمان في استخدام npm يوميًا ، لذلك لا توجد حاجة لتذكر تشغيل npq بشكل صريح.

 alias npm= ' npq-hero '

إذا كنت تستخدم yarn ، أو تريد عمومًا أن تخبر NPQ بشكل صريح عن مدير الحزمة لاستخدامه ، فيمكنك تحديد متغير البيئة: NPQ_PKG_MGR=yarn

مثال: إنشاء اسم مستعار مع الغزل كمدير الحزمة:

 alias yarn= " NPQ_PKG_MGR=yarn npq-hero "

ملاحظة: سيقوم npq افتراضيًا بإلغاء تحميل جميع الأوامر ووسائطها إلى مدير حزمة npm بعد الانتهاء من التمثيل الواجب للحزم المعنية.

لتعطيل مارشال تمامًا ، قم بتعيين متغير بيئة باستخدام اسم مارشال القصير.

على سبيل المثال ، لتعطيل تعرض Snyk Marshall:

 MARSHALL_DISABLE_SNYK=1 npq install express

npq install express --dry-run

1. هل يمكنني استخدام NPQ دون الحصول على NPM أو الغزل؟

• ستقوم NPQ بمراجعة حزمة لمشكلات الأمان المحتملة ، لكنها ليست بديلاً لـ NPM أو YARN. عندما تختار متابعة تثبيت الحزمة ، فإنه سيؤدي إلى إبطال عملية التثبيت إلى اختيارك من NPM أو الغزل.

2. كيف يختلف NPQ عن تدقيق NPM؟

• سيقوم npm install بتثبيت وحدة نمطية حتى لو كان لديها نقاط ضعف ؛ ستعرض NPQ المشكلات التي تم اكتشافها ، وتطالب المستخدم بالتأكيد على ما إذا كان يجب متابعة تثبيته.
• ستقوم NPQ بتشغيل عمليات فحص تركيبية ، تسمى Marshalls ، على خصائص الوحدة النمطية ، مثل ما إذا كانت الوحدة النمطية التي ستقوم بتثبيتها لديها برنامج pre-install يمكن أن يكون ضارًا لنظامك ويطالب بك ما إذا كنت تريد تثبيته. في حين أن npm audit لن يقوم بأي شيكات من هذا القبيل ، ولا تستشير سوى قاعدة بيانات الضعف لمشكلات الأمان المعروفة.
• npm audit أقرب إلى الوظيفة لما يفعله Snyk ، بدلاً من ما يفعله NPQ.

3. هل أتطلب مفتاح SNYK API من أجل استخدام NPQ؟

• ليس مطلوبًا. إذا لم يتمكن NPQ من اكتشاف مفتاح SNYK API للمستخدم الذي يقوم بتشغيل NPQ ، فسيتخطي فحص نقاط الضعف في قاعدة البيانات. ومع ذلك ، فإننا نشجعك بشكل كبير على استخدام Snyk ، وتوصيله بـ NPQ للأمان الأوسع.

يرجى الرجوع إلى المساهمة في الإرشادات حول المساهمة في هذا المشروع

liran tal [email protected]