npm 安全十条最佳实践

共 769字,需浏览 2分钟

 ·

2021-12-01 03:06

大厂技术  高级前端  Node进阶

点击上方 程序员成长指北,关注公众号

回复1,加入高级Node交流群


最近一年,npm 频发模块安全问题,让我们防不胜防。作为前端或者后端开发者,考虑 npm 安全性是很重要的。开源代码的安全审计使我们在应用安全中很重要的一部分,而 npm 包安全应该是首要关注的问题。正如我们过去一年看到的,npm 甚至 npm 命令行工具都是易受攻击的。


Synk 作为 Node.js 安全服务商,针对开源维护人员和开发人员的 npm 安全性和工作效率的平衡,整理了一份备忘录。让我们从 10 个 npm 安全最佳实践列表开始。


1. 不要把秘钥发到 npm 上

2. 使用 lockfile

3. 通过 --ignore-scripts 来降低受攻击的几率

4. 评估 npm 项目的健康度

5. 检查依赖的开源项目的缺陷

6. 使用本地 npm 代理

7. 负责任地披露安全漏洞

8. 开启两步验证

9. 使用 npm 作者 token

10. 理解模块命名约定和 Typosquatting 攻击


每一条的具体内容,可以参见原文。另外,可以在原文下载备忘录,打出来贴在工位上,实时提醒自己要注意安全:)


Node 社群


我组建了一个氛围特别好的 Node.js 社群,里面有很多 Node.js小伙伴,如果你对Node.js学习感兴趣的话(后续有计划也可以),我们可以一起进行Node.js相关的交流、学习、共建。下方加 考拉 好友回复「Node」即可。


   “分享、点赞在看” 支持一波👍

浏览 30
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报