Download de npq - Download de código fonte npq

npq

Outro código-fonte

v3.5.3

Baixar

* Instale com segurança os pacotes com NPM/YARN, auditando -os como parte do seu processo de instalação

NPQ-DEMO-3-FINAL

Cobertura da mídia sobre NPQ:

Como mencionado no livro francês de Thomas Gentilhomme, se tornar um desenvolvedor Node.js
Tao Bojlén é uma teia de confiança para o NPM
Lista favorita de Zander de ferramentas de linha de comando
Revisão NPQ do Ran Bar Zik para instalar módulos seguros
Como instalar com segurança os pacotes usando npm ou fios no Linux
como avaliar a segurança de suas dependências de pacote NPM
JavaScript de janeiro do advento do advento Post no código aberto do céu, módulos do inferno
Os módulos maliciosos de Liran Tal - o que você precisa saber ao instalar pacotes NPM

Sobre

Depois que o NPQ é instalado, você pode* instalar com segurança os pacotes:

npq install express

npq executará as seguintes etapas para a sanidade verificar se o pacote é seguro empregando heurísticas sintáticas e consultando um banco de dados CVE:

Consulte o banco de dados Snyk.io de vulnerabilidades divulgadas publicamente para verificar se existe uma vulnerabilidade de segurança para este pacote e sua versão.
Idade do pacote no NPM
Download do pacote contagem como uma métrica de popularidade
O pacote tem um arquivo de leitura
O pacote tem um arquivo de licença
O pacote possui scripts pré/pós -instalação

Se o NPQ for solicitado a continuar com a instalação, ele simplesmente entrega o trabalho de instalação real do pacote no gerenciador de pacotes (NPM por padrão).

com segurança* - não há segurança garantida; Ainda poderia existir um pacote malicioso ou vulnerável que não tenha vulnerabilidades de segurança divulgadas publicamente e passa os cheques do NPQ.

Instalar

npm install -g npq

Nota: Recomendamos instalar com npm em vez de yarn . Dessa forma, npq pode instalar automaticamente aliases do Shell para você.

Uso

Instale os pacotes com NPQ:

npq install express

Incorporar no seu dia a dia

Como npq é uma pré-etapa para garantir que o pacote NPM que você está instalando seja seguro, você pode incorporá-lo com segurança no seu uso diário npm , para que não haja necessidade de se lembrar de executar npq explicitamente.

 alias npm= ' npq-hero '

Descarregar para gerentes de pacotes

Se você está usando yarn , ou geralmente quiser dizer explicitamente a NPQ qual gerenciador de pacotes para usar, você pode especificar uma variável de ambiente: NPQ_PKG_MGR=yarn

Exemplo: Crie um pseudônimo com fios como o gerenciador de pacotes:

 alias yarn= " NPQ_PKG_MGR=yarn npq-hero "

NOTA: npq por padrão descarregará todos os comandos e seus argumentos para o npm Package Manager depois que ele terminou sua diligência de devido tempo para os respectivos pacotes.

Marshalls

Nome Marshall	Descrição	Notas
idade	Mostrará um aviso para um pacote se sua idade no NPM for inferior a 22 dias	Verifica uma data de criação de pacotes, não uma versão específica
autor	Mostrará um aviso se um pacote foi encontrado sem um campo de autor	Verifica a versão mais recente de um autor
downloads	Mostrará um aviso para um pacote se sua contagem de download no último mês for menor que 20
Readme	Mostrará um aviso se um pacote não tiver leitura ou foi detectado como um pacote de espaço reservado para segurança pela equipe do NPM
repo	Mostrará um aviso se um pacote foi encontrado sem um URL de repositório válido e de trabalho	Verifica a versão mais recente para um URL do repositório
scripts	Mostrará um aviso se um pacote tiver um script pré/pós -instalação que possa ser potencialmente malicioso
Snyk	Mostrará um aviso se um pacote foi encontrado com vulnerabilidades no banco de dados de Snyk	Para que o SNYK funcione, você precisa ter o pacote `snyk` NPM instalado com um token de API válido ou disponibilizar o token na variável de ambiente SNYK_TOKN, e o NPQ o usará
licença	Mostrará um aviso se um pacote foi encontrado sem um campo de licença	Verifica a versão mais recente para obter uma licença
domínios expirados	Mostrará um aviso se um pacote foi encontrado com um de seus mantenedores com um endereço de e -mail que inclui um domínio expirado	Verifica uma versão de dependência para um mantenedor com um domínio expirado
assinaturas	Comparará a assinatura do pacote como aparece no Pakument do registro com as chaves publicadas no registro NPMJS.com
proveniência	Verificará os atestados do pacote de metadados de proveniência para o pacote publicado

Desativando Marshalls

Para desativar um Marshall completamente, defina uma variável de ambiente usando com o nome Shortname do Marshall.

Exemplo, para desativar a vulnerabilidade Snyk Marshall:

 MARSHALL_DISABLE_SNYK=1 npq install express

Execute verificações no pacote sem instalá -lo:

npq install express --dry-run

Aprenda a segurança do Node.js

Captura de tela 2024-09-12 em 20 14 27 27

Aprenda técnicas de codificação segura do Node.js

Perguntas frequentes

Posso usar o NPQ sem ter npm ou fios?

O NPQ auditará um pacote para possíveis problemas de segurança, mas não é um substituto para NPM ou fios. Quando você optar por continuar instalando o pacote, ele descarrega o processo de instalação para sua escolha de NPM ou YARN.

Como o NPQ é diferente da auditoria do NPM?

npm install instalará um módulo, mesmo que tenha vulnerabilidades; O NPQ exibirá os problemas detectados e solicitará ao usuário confirmar se a instalação deve instalá -lo.
O NPQ executará verificações sintéticas, chamadas Marshalls, sobre as características de um módulo, como se o módulo que você instalará possui um script pre-install que pode ser potencialmente prejudicial para o seu sistema e solicitar a instalá-lo. Enquanto npm audit não executará essas verificações e apenas consulta um banco de dados de vulnerabilidades para problemas de segurança conhecidos.
npm audit está mais próxima da funcionalidade do que o SNYK faz, em vez do que o NPQ faz.

Eu preciso de uma chave de API SNYK para usar o NPQ?

Não é necessário. Se o NPQ não puder detectar uma tecla API SNYK para o usuário executando o NPQ, ele ignorará a verificação de vulnerabilidades do banco de dados. No entanto, o incentivamos a usar o SNYK e conectá -lo ao NPQ para uma segurança mais ampla.