หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ดอื่น ๆ
ดาวน์โหลด



* ติดตั้งแพ็คเกจด้วย NPM/เส้นด้ายอย่างปลอดภัยโดยการตรวจสอบเป็นส่วนหนึ่งของกระบวนการติดตั้งของคุณ

NPQ-DEMO-3

ความครอบคลุมของสื่อเกี่ยวกับ NPQ:

  • ดังที่ได้กล่าวไว้ในหนังสือภาษาฝรั่งเศสของ Thomas Gentilhomme เป็นนักพัฒนา Node.js
  • Tao Bojlénเป็นเว็บแห่งความไว้วางใจสำหรับ NPM
  • รายการเครื่องมือบรรทัดคำสั่งที่ชื่นชอบของแซนเดอร์
  • รีวิว NPQ ของ Ran Bar Zik เพื่อติดตั้งโมดูลที่ปลอดภัย
  • วิธีการติดตั้งแพ็คเกจของ Ostechnix อย่างปลอดภัยโดยใช้ NPM หรือเส้นด้ายบน Linux
  • วิธีการประเมินความปลอดภัยของการพึ่งพาแพ็คเกจ NPM ของคุณ
  • โพสต์ปฏิทินของ JavaScript มกราคมมกราคมเกี่ยวกับโอเพ่นซอร์สจากสวรรค์โมดูลจากนรก
  • โมดูลที่เป็นอันตรายของ Liran Tal - สิ่งที่คุณต้องรู้เมื่อติดตั้งแพ็คเกจ NPM

เกี่ยวกับ

เมื่อติดตั้ง NPQ แล้วคุณสามารถติดตั้งแพ็คเกจได้อย่างปลอดภัย: 

npq install express

npq จะดำเนินการตามขั้นตอนต่อไปนี้เพื่อตรวจสอบความมีสติว่าแพ็คเกจนั้นปลอดภัยโดยใช้การวิเคราะห์วิถีทางวากยสัมพันธ์และสอบถามฐานข้อมูล CVE:

  • ปรึกษาฐานข้อมูล SNYK.IO ของช่องโหว่ที่เปิดเผยต่อสาธารณะเพื่อตรวจสอบว่ามีช่องโหว่ด้านความปลอดภัยสำหรับแพ็คเกจนี้และเวอร์ชันหรือไม่
  • อายุแพ็คเกจใน NPM
  • แพ็คเกจดาวน์โหลดจำนวนมากเป็นตัวชี้วัดความนิยม
  • แพ็คเกจมีไฟล์ readme
  • แพ็คเกจมีไฟล์ใบอนุญาต
  • แพ็คเกจมีสคริปต์การติดตั้งล่วงหน้า/โพสต์

หาก NPQ ได้รับแจ้งให้ดำเนินการต่อด้วยการติดตั้งมันจะส่งงานแพ็คเกจการติดตั้งจริงไปยัง Package Manager (NPM โดยค่าเริ่มต้น)

อย่างปลอดภัย* - ไม่มีความปลอดภัยที่รับประกันได้ แพ็คเกจที่เป็นอันตรายหรืออ่อนแอยังคงมีอยู่ซึ่งไม่มีช่องโหว่ด้านความปลอดภัยเปิดเผยต่อสาธารณชนและผ่านการตรวจสอบของ NPQ

ติดตั้ง 

npm install -g npq

หมายเหตุ: เราแนะนำให้ติดตั้งด้วย npm มากกว่า yarn ด้วยวิธีนี้ npq สามารถติดตั้งนามแฝงเชลล์ให้คุณได้โดยอัตโนมัติ

การใช้งาน

ติดตั้งแพ็คเกจด้วย NPQ: 

npq install express

ฝังในวันต่อวัน

เนื่องจาก npq เป็นขั้นตอนล่วงหน้าเพื่อให้แน่ใจว่าแพ็คเกจ NPM ที่คุณติดตั้งนั้นปลอดภัยคุณจึงสามารถฝังได้อย่างปลอดภัยในการใช้งาน npm แบบวันต่อวันดังนั้นจึงไม่จำเป็นต้องจำไว้ว่าให้เรียกใช้ npq อย่างชัดเจน 

 alias npm= ' npq-hero '

ขนถ่ายไปยังแพ็คเกจผู้จัดการ

หากคุณใช้ yarn หรือโดยทั่วไปต้องการบอก NPQ อย่างชัดเจนว่าตัวจัดการแพ็คเกจใดที่จะใช้คุณสามารถระบุตัวแปรสภาพแวดล้อม: NPQ_PKG_MGR=yarn

ตัวอย่าง: สร้างนามแฝงด้วยเส้นด้ายเป็นผู้จัดการแพ็คเกจ: 

 alias yarn= " NPQ_PKG_MGR=yarn npq-hero "

หมายเหตุ: npq โดยค่าเริ่มต้นจะถ่ายโอนคำสั่งทั้งหมดและอาร์กิวเมนต์ของพวกเขาไปยังตัวจัดการแพ็คเกจ npm หลังจากเสร็จสิ้นการครบกำหนดสำหรับแพ็คเกจที่เกี่ยวข้อง

มาร์ชอลล์

ชื่อมาร์แชล คำอธิบาย หมายเหตุ
อายุ จะแสดงคำเตือนสำหรับแพ็คเกจหากอายุของ NPM น้อยกว่า 22 วัน ตรวจสอบวันที่สร้างแพ็คเกจไม่ใช่เวอร์ชันเฉพาะ
ผู้เขียน จะแสดงคำเตือนหากพบแพ็คเกจโดยไม่มีสาขาผู้เขียน ตรวจสอบเวอร์ชันล่าสุดสำหรับผู้แต่ง
การดาวน์โหลด จะแสดงคำเตือนสำหรับแพ็คเกจหากจำนวนการดาวน์โหลดในเดือนที่แล้วน้อยกว่า 20
readme จะแสดงคำเตือนหากแพ็คเกจไม่มี readme หรือถูกตรวจพบว่าเป็นแพคเกจรักษาความปลอดภัยโดยพนักงาน NPM
repo จะแสดงคำเตือนหากพบแพ็คเกจโดยไม่มี URL ที่เก็บที่ถูกต้องและใช้งานได้ ตรวจสอบเวอร์ชันล่าสุดสำหรับ URL ที่เก็บข้อมูล
สคริปต์ จะแสดงคำเตือนหากแพ็คเกจมีสคริปต์ติดตั้งล่วงหน้า/โพสต์ซึ่งอาจเป็นอันตราย
สไนค์ จะแสดงคำเตือนหากพบแพ็คเกจที่มีช่องโหว่ในฐานข้อมูลของ Snyk เพื่อให้ Snyk ทำงานได้คุณต้องมีแพ็คเกจ snyk NPM ที่ติดตั้งด้วยโทเค็น API ที่ถูกต้องหรือทำให้โทเค็นมีอยู่ในตัวแปรสภาพแวดล้อม SNYK_TOKEN และ NPQ จะใช้มัน
ใบอนุญาต จะแสดงคำเตือนหากพบแพ็คเกจโดยไม่มีช่องใบอนุญาต ตรวจสอบเวอร์ชันล่าสุดสำหรับใบอนุญาต
โดเมนที่หมดอายุ จะแสดงคำเตือนหากพบแพ็คเกจกับหนึ่งในผู้ดูแลที่มีที่อยู่อีเมลที่มีโดเมนหมดอายุ ตรวจสอบเวอร์ชันการพึ่งพาสำหรับผู้ดูแลที่มีโดเมนหมดอายุ
ลายเซ็น จะเปรียบเทียบลายเซ็นของแพ็คเกจตามที่แสดงไว้ใน Pakument ของรีจิสทรีกับคีย์ที่เผยแพร่บนรีจิสทรี NPMJS.com
ที่มา จะตรวจสอบการยืนยันของแพ็คเกจเกี่ยวกับข้อมูลเมตาที่มาสำหรับแพ็คเกจที่เผยแพร่

ปิดการใช้งานมาร์แชลล์

หากต้องการปิดการใช้งาน Marshall โดยสิ้นเชิงให้ตั้งค่าตัวแปรสภาพแวดล้อมโดยใช้ชื่อสั้น ๆ ของ Marshall

ตัวอย่างเพื่อปิดการใช้งาน Snyk Vulnerability Marshall: 

 MARSHALL_DISABLE_SNYK=1 npq install express

รันเช็คบนแพ็คเกจโดยไม่ต้องติดตั้ง: 

npq install express --dry-run

เรียนรู้การรักษาความปลอดภัย node.js

ภาพหน้าจอ 2024-09-12 ที่ 20 14 27

เรียนรู้เทคนิคการเข้ารหัสที่ปลอดภัยและแนวทางปฏิบัติที่ดีที่สุดจาก Liran Tal

คำถามที่พบบ่อย

  1. ฉันสามารถใช้ NPQ โดยไม่ต้องมี NPM หรือเส้นด้ายได้หรือไม่?
  • NPQ จะตรวจสอบแพ็คเกจสำหรับปัญหาด้านความปลอดภัยที่เป็นไปได้ แต่มันไม่ได้เปลี่ยน NPM หรือเส้นด้าย เมื่อคุณเลือกที่จะติดตั้งแพ็คเกจต่อไปมันจะเปิดกระบวนการติดตั้งไปยังตัวเลือก NPM หรือเส้นด้ายของคุณ
  1. NPQ แตกต่างจากการตรวจสอบ NPM อย่างไร
  • npm install จะติดตั้งโมดูลแม้ว่าจะมีช่องโหว่ NPQ จะแสดงปัญหาที่ตรวจพบและแจ้งให้ผู้ใช้ยืนยันว่าจะทำการติดตั้งต่อไปหรือไม่
  • NPQ จะเรียกใช้การตรวจสอบสังเคราะห์ที่เรียกว่า Marshalls ตามลักษณะของโมดูลเช่นโมดูลที่คุณกำลังจะติดตั้งมีสคริปต์ pre-install ซึ่งอาจเป็นอันตรายต่อระบบของคุณและแจ้งให้คุณทราบว่าจะติดตั้งหรือไม่ ในขณะที่ npm audit จะไม่ดำเนินการตรวจสอบดังกล่าวและปรึกษาฐานข้อมูลช่องโหว่สำหรับปัญหาด้านความปลอดภัยที่ทราบเท่านั้น
  • npm audit นั้นใกล้เคียงกับฟังก์ชั่นกับสิ่งที่ Snyk ทำมากกว่าสิ่งที่ NPQ ทำ
  1. ฉันต้องการคีย์ Snyk API เพื่อใช้ NPQ หรือไม่?
  • ไม่จำเป็น หาก NPQ ไม่สามารถตรวจจับคีย์ SNYK API สำหรับผู้ใช้ที่ใช้ NPQ ได้จะข้ามการตรวจสอบช่องโหว่ของฐานข้อมูล อย่างไรก็ตามเราสนับสนุนให้คุณใช้ Snyk อย่างมากและเชื่อมต่อกับ NPQ เพื่อความปลอดภัยที่กว้างขึ้น

การบริจาค

โปรดปรึกษาการสนับสนุนแนวทางในการสนับสนุนโครงการนี้

ผู้เขียน

Liran Tal [email protected]

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด