npq

Safamente* Instale paquetes con NPM/hilo auditándolos como parte de su proceso de instalación

Cobertura de medios sobre NPQ:

• Como se menciona en el libro francés de Being Node.js desarrollador de Thomas Gentilhomme.
• Tao Bojlén es una red de confianza para NPM
• Lista favorita de Zander de herramientas de línea de comandos
• Revisión NPQ de Bar Zik para instalar módulos seguros
• OSTECHNIX How To Instalar paquetes de forma segura con NPM o hilo en Linux
• DeBricked How to evaluar la seguridad de las dependencias de sus paquetes NPM
• Javascript enero Publicación del calendario de adviento en código abierto del cielo, módulos del infierno
• Módulos maliciosos de Liran Tal: lo que necesita saber al instalar paquetes NPM

Una vez que se instala NPQ, puede instalar paquetes de forma segura:

npq install express

npq realizará los siguientes pasos para verificar la cordura que el paquete es seguro al emplear heurísticas sintácticas y consultar una base de datos CVE:

• Consulte la base de datos Snyk.io de vulnerabilidades divulgadas públicamente para verificar si existe una vulnerabilidad de seguridad para este paquete y su versión.
• Edad del paquete en NPM
• Descarga de paquetes cuenta como una métrica de popularidad
• El paquete tiene un archivo README
• El paquete tiene un archivo de licencia
• El paquete tiene scripts de instalación previa/post

Si se solicita a NPQ que continúe con la instalación, simplemente entrega el trabajo de instalación del paquete real al Administrador de paquetes (NPM de forma predeterminada).

Safamente* - No hay seguridad garantizada; Todavía podría existir un paquete malicioso o vulnerable que no tenga vulnerabilidades de seguridad reveladas públicamente y pase los cheques de NPQ.

npm install -g npq

Nota: Recomendamos instalar con npm en lugar de yarn . De esa manera, npq puede instalar alias de shell automáticamente para usted.

npq install express

Dado que npq es un pre-pase para garantizar que el paquete NPM que esté instalando sea seguro, puede incrustarlo de manera segura en su uso diario npm , por lo que no hay necesidad de recordar ejecutar npq explícitamente.

 alias npm= ' npq-hero '

Si está utilizando yarn , o generalmente desea decir explícitamente a NPQ qué administrador de paquetes usar puede especificar una variable de entorno: NPQ_PKG_MGR=yarn

Ejemplo: cree un alias con hilo como administrador de paquetes:

 alias yarn= " NPQ_PKG_MGR=yarn npq-hero "

Nota: npq de forma predeterminada descargará todos los comandos y sus argumentos al Administrador de paquetes npm después de que terminó su diligencia debida para los paquetes respectivos.

Para deshabilitar un Marshall por completo, establezca una variable de entorno utilizando con el nombre corto de Marshall.

Ejemplo, para deshabilitar la vulnerabilidad Snyk Marshall:

 MARSHALL_DISABLE_SNYK=1 npq install express

npq install express --dry-run

1. ¿Puedo usar NPQ sin tener NPM o hilo?

• NPQ auditará un paquete para posibles problemas de seguridad, pero no es un reemplazo para NPM o hilo. Cuando elija continuar instalando el paquete, descargará el proceso de instalación a su elección de NPM o hilo.

2. ¿En qué se diferencia NPQ de la auditoría NPM?

• npm install instalará un módulo incluso si tiene vulnerabilidades; NPQ mostrará los problemas detectados y le solicitará al usuario confirmación sobre si debe proceder a instalarlo.
• NPQ ejecutará verificaciones sintéticas, llamadas Marshalls, en las características de un módulo, como si el módulo que va a instalar tiene un script pre-install que puede ser potencialmente perjudicial para su sistema y solicitarle si instalarlo. Mientras que npm audit no realizará tales verificaciones, y solo consulta una base de datos de vulnerabilidad para problemas de seguridad conocidos.
• npm audit es más cercana en funcionalidad a lo que hace Snyk, en lugar de lo que hace NPQ.

3. ¿Necesito una clave API Snyk para usar NPQ?

• No es necesario. Si NPQ no puede detectar una tecla API SNYK para el usuario que ejecuta NPQ, se omitirá la verificación de vulnerabilidades de la base de datos. Sin embargo, lo alentamos enormemente que use Snyk y lo conecte con NPQ para una seguridad más amplia.

Consulte la contribución de las pautas sobre la contribución de este proyecto

Liran tal [email protected]