npq

En toute sécurité * Installer des packages avec NPM / YARN en les audant dans le cadre de votre processus d'installation

Couverture médiatique sur NPQ:

• Comme mentionné sur le livre français de Thomas Gentilhomme de devenir un développeur Node.js
• Tao Bojlén est un réseau de confiance pour NPM
• Liste préférée des outils de ligne de commande de Zander
• Ran Bar Zik's NPQ Review pour installer des modules sûrs
• Ostechnix's Comment installer en toute sécurité des packages à l'aide de NPM ou de fil sur Linux
• Debricked's Comment évaluer la sécurité de vos dépendances de package NPM
• Javascript Janan Advent Calendar's Post on Open Source from Heaven, Modules From Hell
• Modules malveillants de Liran Tal - ce que vous devez savoir lors de l'installation de packages NPM

Une fois NPQ installé, vous pouvez installer en toute sécurité * Installer les packages:

npq install express

npq effectuera les étapes suivantes pour vérifier la santé mentale que le package est sûr en utilisant des heuristiques syntaxiques et en interrogeant une base de données CVE:

• Consultez la base de données Snyk.io des vulnérabilités divulguées publiquement pour vérifier si une vulnérabilité de sécurité existe pour ce package et sa version.
• L'âge de l'emballage sur NPM
• Package de téléchargement du package comme une métrique de popularité
• Le package a un fichier readme
• Le package a un fichier de licence
• Le package a des scripts pré / post

Si NPQ est invité à continuer avec l'installation, il remet simplement le travail d'installation de package réel sur le gestionnaire de package (NPM par défaut).

En toute sécurité * - il n'y a pas de sécurité garantie; Un package malveillant ou vulnérable pourrait encore exister qui n'a pas de vulnérabilités de sécurité divulguées publiquement et transmet les contrôles de NPQ.

npm install -g npq

Remarque: Nous vous recommandons d'installer avec npm plutôt que yarn . De cette façon, npq peut installer automatiquement les alias shell pour vous.

npq install express

Étant donné que npq est une pré-étape pour vous assurer que le package NPM que vous installez est sûr, vous pouvez l'intégrer en toute sécurité dans votre utilisation quotidienne npm , il n'est donc pas nécessaire de ne pas vous rappeler d'exécuter explicitement npq .

 alias npm= ' npq-hero '

Si vous utilisez yarn , ou si vous souhaitez généralement dire explicitement à NPQ quel gestionnaire de package à utiliser, vous pouvez spécifier une variable d'environnement: NPQ_PKG_MGR=yarn

Exemple: créez un alias avec le fil comme gestionnaire de packages:

 alias yarn= " NPQ_PKG_MGR=yarn npq-hero "

Remarque: npq par défaut déchargera toutes les commandes et leurs arguments au gestionnaire de package npm après avoir terminé sa diligence pour les packages respectifs.

Pour désactiver complètement un Marshall, définissez une variable d'environnement en utilisant avec le nom court du Marshall.

Exemple, pour désactiver la vulnérabilité SNYK Marshall:

 MARSHALL_DISABLE_SNYK=1 npq install express

npq install express --dry-run

1. Puis-je utiliser NPQ sans NPM ou fil?

• NPQ auditera un package pour d'éventuels problèmes de sécurité, mais ce n'est pas un remplacement pour le NPM ou le fil. Lorsque vous choisissez de continuer à installer le package, il déchargera le processus d'installation sur votre choix de NPM ou de fil.

2. En quoi NPQ est-il différent de l'audit NPM?

• npm install installa un module même s'il a des vulnérabilités; NPQ affichera les problèmes détectés et invitera l'utilisateur à confirmer l'opportunité de l'installer.
• NPQ exécutera des vérifications synthétiques, appelées Marshalls, sur les caractéristiques d'un module, par exemple si le module que vous allez installer a un script pre-install qui peut être potentiellement nocif pour votre système et vous inviter à l'installer. Tandis que npm audit n'effectuera pas de tels vérifications et ne consulte que une base de données de vulnérabilité pour les problèmes de sécurité connus.
• npm audit est plus proche de la fonctionnalité de ce que fait SNYK, plutôt que ce que fait NPQ.

3. Ai-je besoin d'une clé API SNYK pour utiliser NPQ?

• Ce n'est pas nécessaire. Si NPQ n'est pas en mesure de détecter une touche API SNYK pour l'utilisateur exécutant NPQ, il sautera la vérification des vulnérabilités de la base de données. Nous vous encourageons cependant beaucoup à utiliser SNYK et à le connecter avec NPQ pour plus de sécurité.

Veuillez consulter la contribution des lignes directrices sur la contribution à ce projet

Liran Tal [email protected]