npm 安全十条最佳实践
大厂技术 高级前端 Node进阶
点击上方 程序员成长指北,关注公众号
回复1,加入高级Node交流群
最近一年,npm 频发模块安全问题,让我们防不胜防。作为前端或者后端开发者,考虑 npm 安全性是很重要的。开源代码的安全审计使我们在应用安全中很重要的一部分,而 npm 包安全应该是首要关注的问题。正如我们过去一年看到的,npm 甚至 npm 命令行工具都是易受攻击的。
Synk 作为 Node.js 安全服务商,针对开源维护人员和开发人员的 npm 安全性和工作效率的平衡,整理了一份备忘录。让我们从 10 个 npm 安全最佳实践列表开始。
1. 不要把秘钥发到 npm 上
2. 使用 lockfile
3. 通过 --ignore-scripts 来降低受攻击的几率
4. 评估 npm 项目的健康度
5. 检查依赖的开源项目的缺陷
6. 使用本地 npm 代理
7. 负责任地披露安全漏洞
8. 开启两步验证
9. 使用 npm 作者 token
10. 理解模块命名约定和 Typosquatting 攻击
每一条的具体内容,可以参见原文。另外,可以在原文下载备忘录,打出来贴在工位上,实时提醒自己要注意安全:)
Node 社群 我组建了一个氛围特别好的 Node.js 社群,里面有很多 Node.js小伙伴,如果你对Node.js学习感兴趣的话(后续有计划也可以),我们可以一起进行Node.js相关的交流、学习、共建。下方加 考拉 好友回复「Node」即可。
“分享、点赞、在看” 支持一波👍
评论