npq Download - npq Quellcode Download

npq

Anderer Quellcode

v3.5.3

Herunterladen

Sicher* Installieren Sie Pakete mit NPM/Garn, indem Sie sie als Teil Ihres Installationsprozesses prüfen

NPQ-Demo-3-Finale

Medienberichterstattung über NPQ:

Wie in Thomas Gentilhommes französischem Buch von Node.js -Entwickler erwähnt
Tao Bojlén ist ein Trust -Web für NPM
Zanders bevorzugte Liste der Befehlszeilenwerkzeuge
Ran Bar Ziks NPQ Review zur Installation sicherer Module
Ostechnixs Wie man Pakete mit NPM oder Garn unter Linux sicher installiert
Debricked, wie Sie die Sicherheit Ihrer NPM -Paketabhängigkeiten bewerten können
JavaScript Januar Adventskalenders Post über Open Source From Himmel, Module aus der Hölle
Bösartige Module von Liran Tal - was Sie bei der Installation von NPM -Paketen wissen müssen

Um

Sobald NPQ installiert ist, können Sie sicher* Pakete installieren:

npq install express

npq führt die folgenden Schritte aus, um die Vernunft zu überprüfen, ob das Paket sicher ist, indem syntaktische Heuristiken verwendet werden und eine CVE -Datenbank abfragen:

Wenden Sie sich an die Datenbank SNYK.IO mit offenbarten Schwachstellen, um zu überprüfen, ob eine Sicherheitsanfälligkeit für dieses Paket und seine Version vorhanden ist.
Paketalter auf NPM
Paket -Download -Anzahl als Popularitätsmetrik
Paket hat eine Readme -Datei
Paket hat eine Lizenzdatei
Das Paket verfügt über Skripte vor/post installieren

Wenn NPQ aufgefordert wird, mit der Installation fortzufahren, überliefert es einfach den tatsächlichen Paket -Installationsjob an den Paketmanager (standardmäßig NPM).

Sicher* - Es gibt keine garantierte Sicherheit; Es könnte noch ein böswilliges oder verletzliches Paket vorhanden sein, das keine öffentlich offengelegten Sicherheitslücken aufweist und die Schecks von NPQ übernimmt.

Installieren

npm install -g npq

Hinweis: Wir empfehlen eher mit npm als mit yarn . Auf diese Weise kann npq Shell -Aliase automatisch für Sie installieren.

Verwendung

Installieren Sie Pakete mit NPQ:

npq install express

In Ihren Tag für Tag einbetten

Da npq ein Vorschritt ist, um sicherzustellen, dass das von Ihnen installierte NPM-Paket sicher ist, können Sie es sicher in Ihre tägliche npm -Verwendung einbetten, sodass Sie nicht daran denken müssen, npq explizit auszuführen.

 alias npm= ' npq-hero '

Packungsmanager abladen

Wenn Sie yarn verwenden oder im Allgemeinen npq explizit sagen möchten, welchen Paket -Manager Sie verwenden können, können Sie eine Umgebungsvariable angeben: NPQ_PKG_MGR=yarn

Beispiel: Erstellen Sie einen Alias mit Garn als Paketmanager:

 alias yarn= " NPQ_PKG_MGR=yarn npq-hero "

HINWEIS: npq standardmäßig lädt alle Befehle und Argumente an den npm Paketmanager ab, nachdem er die Fälligkeitsdilgen für die jeweiligen Pakete beendet hat.

Marshalls

Marshall Name	Beschreibung	Notizen
Alter	Zeigt eine Warnung für ein Paket, wenn sein Alter auf NPM weniger als 22 Tage beträgt	Überprüft ein Paketerstellungsdatum, nicht eine bestimmte Version
Autor	Wird eine Warnung zeigen, wenn ein Paket ohne Autorfeld gefunden wurde	Überprüft die neueste Version für einen Autor
Downloads	Wird eine Warnung für ein Paket zeigen, wenn der Download im letzten Monat weniger als 20 beträgt
Readme	Wird eine Warnung zeigen, wenn ein Paket kein Readme hat oder es von NPM -Mitarbeitern als Sicherheits -Platzhalterpaket erkannt wurde
Repo	Zeigt eine Warnung, wenn ein Paket ohne eine gültige und funktionierende Repository -URL gefunden wurde	Überprüft die neueste Version auf eine Repository -URL
Skripte	Wird eine Warnung zeigen, wenn ein Paket ein Skript vor/post -Installation hat, das möglicherweise böswillig sein könnte
Snyk	Wird eine Warnung zeigen, wenn ein Paket mit Schwachstellen in der Datenbank von SNYK gefunden wurde	Damit `snyk` funktioniert
Lizenz	Wird eine Warnung zeigen, wenn ein Paket ohne Lizenzfeld gefunden wurde	Überprüft die neueste Version auf eine Lizenz
abgelaufene Domänen	Zeigt eine Warnung, wenn ein Paket mit einem seiner Betrerungen mit einer E -Mail -Adresse gefunden wurde, die eine abgelaufene Domain enthält	Überprüft eine Abhängigkeitsversion für einen Betreuer mit einer abgelaufenen Domäne
Unterschriften	Vergleiche die Unterschrift des Pakets, wie es auf dem Pakument der Registrierung mit den in der NPMJS.com -Registrierung veröffentlichten Schlüssel zeigt
Herkunft	Überprüfen

Marshalls deaktivieren

Um einen Marshall vollständig zu deaktivieren, setzen Sie eine Umgebungsvariable mit dem Shortnamen des Marshalls.

Beispiel, um den Snyk -Schwachstellen Marshall zu deaktivieren:

 MARSHALL_DISABLE_SNYK=1 npq install express

Führen Sie Schecks auf dem Paket aus, ohne es zu installieren:

npq install express --dry-run

Lernen Sie Node.js Sicherheit

Screenshot 2024-09-12 bei 20 14 27

Lernen Sie Node.js sichere Codierungstechniken und Best Practices von Liran Tal

FAQ

Kann ich NPQ verwenden, ohne NPM oder Garn zu haben?

NPQ prüft ein Paket für mögliche Sicherheitsprobleme, es ist jedoch kein Ersatz für NPM oder Garn. Wenn Sie das Paket weiter installieren, laden Sie den Installationsprozess auf Ihre Auswahl von NPM oder Garn aus.

Wie unterscheidet sich NPQ vom NPM -Audit?

npm install installiert ein Modul, auch wenn es Schwachstellen aufweist. NPQ zeigt die erkannten Probleme an und fordert den Benutzer auf, zu bestätigen, ob die Installation fortgesetzt werden soll.
NPQ führt synthetische Überprüfungen aus, die als Marshalls bezeichnet werden, auf den Eigenschaften eines Moduls, z pre-install Während npm audit keine solchen Schecks durchführt und nur eine Sicherheitsdatenbank für bekannte Sicherheitsprobleme konsultiert.
npm audit nähert sich in der Funktionalität, was Snyk tut, anstatt das, was NPQ tut.

Benötige ich einen Snyk -API -Schlüssel, um NPQ zu verwenden?

Es ist nicht erforderlich. Wenn NPQ keinen SNYK -API -Schlüssel für den Benutzer erkennen kann, der NPQ ausführt, überspringt es die Überprüfung der Datenbank -Schwachstellen. Wir ermutigen Sie jedoch sehr, SNYK zu verwenden und es mit NPQ für eine breitere Sicherheit zu verbinden.