BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

npm为安全性发布了企业版扩展包和许可证

| 作者 James Chesters 关注 1 他的粉丝 ,译者 薛梦迪 关注 0 他的粉丝 发布于 2016年7月28日. 估计阅读时间: 3 分钟 | GMTC大前端的下一站,PWA、Web框架、Node等最新最热的大前端话题邀你一起共同探讨。

npm发布了企业版扩展包,首次使开发者们直接集成第三方工具成为可能。

npm企业版的总经理Ben Coe告诉InfoQ:

思考:一个安全厂商的绿色选择框证实代码是安全的;一个许可证审核工具提醒一个包的依赖基于GPL;一个CI工具监听着依赖的更新并警告什么应该中断……

在npm的博客文章《为npm企业版引入扩展包》中,Coe说npm企业版会公布一个让第三方开发者能够直接在npm企业版产品上编译的API。

为了解释这背后的驱动因素,Coe说扩展包有“能力将你的开发工作流中分离的部分整合进一个独立的用户体验中,并除去了较大型企业没办法使用开源开发的‘许多小型复用部分’方法论的障碍”。

一个典型的Node.js应用使用上百个依赖:这太多了以至于不能很容易地跟踪它们。当大部分依赖都是通过另外的包的间接依赖时,就变得更具挑战性了。

Coe将审查“外来代码的每个部分”的许可证需求比作安全性研究,他说:“试图手工确认每个依赖的许可证(以及依赖的依赖和依赖的依赖的依赖)是不可估量的。”

这个安全性风险与使用开源代码的企业相联系起来,意味着如果一个包有安全漏洞,那应用就可能变得暴露,如果漏洞是恶意的,那应用可能会受到损害。

在博客文章《npm灾难暴露了严重的安全风险》中,Nicolás Bevacqua说:“尽管绝大多数npm用户都是善意的。这就是为什么语义化的版本控制(semver)通常都行得通。通常我们可以信任包的作者,但有时就不一定了。”

Node安全平台是npm的合作伙伴,它以给审核过的模块提供安全信息而著名,它在一篇博客文章中公布了他们针对npm企业版的安全扩展包。

NSP的建立者Adam Baldwin说:

多年来,我们的nsp工具已成为Node依赖中的关键漏洞情报源。

今天开始,nsp的安全漏洞通知将在npm企业版内部方便地发布。

nsp扩展包在模块详细信息页的侧边栏中给开发者们提供了安全信息,包括模块存在已知漏洞的详细信息,并提供了更详细安全报告的链接。

Baldwin承诺,为企业级客户即将上市的还有已验证模块的公开信息,这是由Node安全团队所审核的。

根据npm所说,每个人都行动起来,能从为企业带来开源代码、工作流和工具的活动中获利。

“当公司用与社区构建开源项目相同的方式开发专利代码时,开源社区的方法和工具就会变成构建软件的默认方式。”Coe说道。

查看英文原文npm Releases Enterprise Add-ons for Security, Licensing


感谢夏雪对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ@丁晓昀),微信(微信号:InfoQChina)关注我们。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT