Immagina questo scenario. Vuoi installare un'applicazione sulla tua macchina Linux. Il pacchetto è nella fase di sviluppo iniziale ed è disponibile solo nel repository NPM. Sei un po' paranoico e scettico sull'autenticità del pacchetto. Cosa faresti? Se sei un programmatore, puoi controllare il codice del pacchetto e vedere se ci sono problemi. Se non conosci la codifica, non hai altra scelta che fidarti ciecamente del pacchetto e installarlo comunque. Per rimediare a questo problema, esiste un programma chiamato "npq" che può essere utilizzato per installare in sicurezza i pacchetti utilizzando Npm o Filato gestori di pacchetti in Linux.
Il npq verificherà i pacchetti che desideri installare prima di installarli. Se sono presenti vulnerabilità note, visualizzerà l'avviso, in modo che tu possa saltare l'installazione in sicurezza.
Npq eseguirà i seguenti passaggi per verificare se il pacchetto è sicuro o meno.
- Verificherà Snyk Vulnerability DB per assicurarsi che esistano vulnerabilità per il pacchetto. Se sono presenti vulnerabilità note, verrà visualizzato l'avviso.
- Controlla l'età del pacco. Se l'età del pacco è inferiore a 22 giorni, verrà visualizzato un messaggio di avviso.
- Controlla il numero di download del pacchetto. Se il numero di download del pacchetto è inferiore a 20 nell'ultimo mese, verrà visualizzato un avviso.
- Verifica se esiste un README per il pacchetto. Se non è presente alcun README, verrà visualizzato un avviso.
- Verifica se il pacchetto contiene script pre o post. Questi script potrebbero essere dannosi, quindi visualizzerà un messaggio di avviso.
Se non vedi alcun avviso, il pacchetto è probabilmente sicuro. Tieni presente che ho detto:il pacchetto è PROBABILMENTE sicuro . Ma non c'è sicurezza garantita . Potrebbe ancora esistere un pacchetto dannoso o vulnerabile che non ha divulgazione pubblicata nel database Synk e supera i controlli di npq.
Dopo che tutti i test sono stati eseguiti, npq consegnerà il processo di installazione del pacchetto effettivo a Npm o al gestore di pacchetti Yarn. Npm è l'impostazione predefinita.
Tieni presente che Npq non ti impedirà di installare i pacchetti. Verificherà solo un pacchetto per possibili problemi di sicurezza e visualizzerà l'avviso in caso di vulnerabilità note. Sta a te decidere se ignorare l'installazione o continuare a tuo rischio.
Installa Npq
Assicurati di aver installato Nodejs sulla tua macchina Linux. In caso contrario, fare riferimento al seguente link.
- Come installare NodeJS su Linux
Dopo aver installato Nodejs, esegui il seguente comando per installare Npq:
$ npm install -g npq
Il comando precedente inserirà due binari, vale a dire npq e npq-hero nel tuo cammino.
Installa in modo sicuro i pacchetti utilizzando Npm o Yarn su Linux
Per controllare e installare il pacchetto, ad esempio tldr , esegui semplicemente:
$ npq install tldr
Risultato di esempio:
✔ Checking package maturity ✖ Identifying package author... ✔ Checking package download popularity ✔ Checking availability of a README ✔ Identifying package repository... ✔ Checking package for pre/post install scripts ✖ Checking for known vulnerabilities Detected possible issues with the following packages: [tldr] - the package description has no e-mail associated with author(s). Proceed with care. [*] - Unable to query for known vulnerabilities. Install snyk and authenticate or provide a SNYK_TOKEN env variable (https://snyk.io) ? Would you like to continue installing package(s)? (y/N)
Come puoi vedere nell'output sopra, ci sono tre avvisi:
- Npq non è riuscito a identificare l'autore del pacchetto tldr,
- Non c'è un indirizzo email nella descrizione del pacchetto,
- Non ho ancora configurato e autenticato con il database Snyk. Per installare Synk CLI e autenticarsi con il database Snyk, fare riferimento a questo collegamento .
Se non ti interessano gli avvisi e ritieni che sia sicuro, digita semplicemente Y per continuare l'installazione del pacchetto.
Crea alias
Npq è solo uno strumento preliminare per verificare la presenza di vulnerabilità note dei pacchetti npm prima di installarli effettivamente. Se lo usi spesso nel tuo lavoro quotidiano, crea semplicemente un alias come di seguito.
$ alias npm='npq-hero'
D'ora in poi, puoi semplicemente controllare un pacchetto npm e installarlo usando il comando:
$ npm install package_name
Cambia il gestore di pacchetti predefinito
Come ho già detto, Npq consegnerà il processo di installazione a Npm gestore di pacchetti per impostazione predefinita dopo averli controllati. Se desideri impostare Yarn come gestore di pacchetti predefinito, specifica una variabile di ambiente:
NPQ_PKG_MGR=yarn
Per creare un alias con filato come gestore di pacchetti, fai:
alias yarn="NPQ_PKG_MGR=yarn npq-hero"
Spero che questo aiuti.