bencede
New member
Güvenlik: npm yükleyerek kötü amaçlı yazılımları önlemek için CLI aracı
Güvenlik yazılımı şirketi Socket, npm JavaScript paket yöneticisini kullanırken güvenliği artırmayı amaçlayan yeni güvenli npm CLI aracını tanıttı. Açık kaynak aracı komutu tamamlar npm install ve kötü amaçlı yazılım, yazım hatası, komut dosyası kurulumu, protesto yazılımı ve telemetri dahil olmak üzere kurulumu askıya alarak on bir farklı saldırı senaryosunu tespit edip savuşturabileceği söyleniyor.
npm kurmanın tehlikeleri
Socket’in açıkladığı gibi, npm install geliştiricilerin her gün çalıştırdığı en tehlikeli komut. Buna göre, tek bir kurulu paket ortalama 79 geçişli bağımlılığa sahiptir. Bu 80 paket, örneğin, kurulum sırasında npm’nin otomatik olarak çalıştırdığı ek kabuk kodunu kurmak için bir kurulum komut dosyası kullanabilir. Bu özellik bazı durumlarda istenebilir, ancak diğerlerinde kötü amaçlı yazılım barındırabilir.
Typosquatting ayrıca yaygın bir saldırı biçimidir: bilinen bir pakete benzer ada sahip bir paket, kötü amaçlı kodla npm’ye yüklenir. Yükleme sırasında buna karşılık gelen bir yazım hatası, geliştiricilere hatalı paketi verir.
güvenli npm yardımcı olmalı
Şimdi tanıtılan güvenli npm soket aracı, npm ve npx komutları için bir sarmalayıcıdır ve tehlikelere karşı koruma amaçlıdır. npm install arkana dön. Zararlı olabilecek bir paket tespit ederse kurulumu askıya alır ve riskler hakkında bilgi verir. Risk değerlendirmesi üç yapı taşına dayanır: statik analiz, meta veri analizi ve bakıcı davranışı. Açık kaynak paketlerinin değerlendirilmesine toplamda 70’in üzerinde sinyal giriyor.
Statik analiz için Socket tarafından geliştirilmiş bir motor kullanılmıştır. Tedarik zinciri saldırılarının olası belirtilerine karşı kaynak kodunu çalıştırmadan analiz edin. Geliştirme ekibine göre bu, yeni komut dosyaları yüklemek, ağ istekleri, ortam değişkenlerine erişim, telemetri ve şüpheli diziler gibi düzinelerce ipucu içeriyor.
Ayrıca bakıcının davranışı da bir rol oynar: Bakımcı kimdir ve bu kişinin aktivite geçmişi nedir? Bakımcısız paketler ve yakın zamanda büyük bir yeniden düzenlemeye tabi tutulmuş paketler de öne çıkıyor. Üçüncü kategori, diğer şeylerin yanı sıra yazım hatasını tanıması gereken meta verilere bakmaktır. Örneğin, webb3, web3 paketinin kötü amaçlı bir sürümüdür ve web3 paketinin 300.000 kat daha fazla indirmesi vardır.
Kurulum ve kullanım
Güvenli npm’yi kullanmak için önizlemede mevcut olan Soket CLI’yi yüklemeniz gerekir:
npm install -g @socketsecurity/cli
Bu komut şunu ekler: socket– Ayrıca ikili PATH katma. O zaman yapabilirsin socket npm install yerine npm install güvenlik özelliklerini kullanmak için kullanın. Güvenli npm işlevi, CLI sürüm 0.5.1’den beri dahil edilmiştir. Kurulu versiyon numarası ile okunabilir. socket --version buna bir bak.
A mevcut kodda değil socket npm geliştirme ekibi .bashrc veya .zshrc’de bir kabuk takma adı kullanılmasını önerir:
alias npm="socket-npm"
alias npx="socket-npx"
Bu ilk sürümde, safe npm varsayılan socket.yml ayarlarını işleyebilir. İlgili taraflar, GitHub’daki Soket CLI aracına katkıda bulunabilir. Python ekosistemi için benzer bir araç olan safe pip, zaten bir özellik isteği olarak tartışılıyor.
Bir blog gönderisi, safe npm’nin ilk sürümü hakkında daha fazla bilgi sağlar.
(Mayıs)
Haberin Sonu