npmはEnterpriseアドオンの初版をリリースした。サードパーティ製のツールが直接統合できるようになる。
npm EnterpriseのジェネラルマネージャであるBen Coe氏は,InfoQで次のように説明している。
意見: セキュリティベンダのグリーンのチェックボックスは,コードの安全製を検証します / ライセンス監査ツールは,パッケージがGPLコードに依存していることを警告します / CIツールは,依存物のアップデートを監視し,非互換性を警告します ...
npmのブログ記事“Introducing add-ons for npm Enterprise”でCoe氏は,npm Enterpriseの提供するAPIによって,サードパーティの開発者がnpm Enterprise上に自身の製品を開発できるようになる,と述べている。
今回の変更の理由についてCoe氏は,アドオンには“開発ワークフロー上の分離していた部分をひとつのユーザエクスペリエンスに統合し,オープンソース開発の「再利用可能な多数の小部品(many-small-reusable-parts)」という方法論を大規模組織に導入する上で,障害となっている壁を突き崩す力”がある,と説明する。
一般的なNode.jsアプリケーションには,100を越える依存関係物がある – 手軽にトラッキングするには多過ぎる数だ。依存関係の大部分が間接的であり,別のパッケージを経由してフェッチされていることが,問題をさらに難しくしている。
Coe氏は“外部コードの各部分”のライセンス要件の確認をセキュリティ研究になぞらえて,“すべての依存関係物(その依存関係,さらにその依存関係 ...)を手作業で確認するのは,規模が大きくなれば不可能”だ,と述べている。
オープンソースコードを利用する企業には,パッケージにセキュリティ上の脆弱性があれば,アプリケーションが攻撃対象となる可能性がある,さらにそれが悪意のあるものであれば,アプリケーションの信頼性が損なわれる,というリスクが存在する。
“The npm Meltdown Uncovers Serious Security Risks”と題したブログ記事には,Nicolás Bevacqua氏が次のように書いている。“しかしながら,npmユーザの大半は寛容です。semver(Semantic Versioning)が有効な大きな理由がここにあります。パッケージ作者への信頼で,ほぼ事が足りているのです。それが失われるまでは。”
npmのパートナであり,監査済みモジュールのセキュリティ情報提供で知られるNode Security Platformは,ブログ記事でnpm Enterprise用のセキュリティアドオンを発表した。
創設者のAdam Baldwin氏によれば,
当社のnspツールは長年にわたって,Node使用ソフトウェアに関する脆弱性情報の重要な供給源となっています。
今日からは,nspのセキュリティ上の脆弱性に関する警告が,npm Enterpriseの内部で手軽に入手できるようになります。
同社のnspアドオンは,モジュール詳細ページのサイドバーにセキュリティ情報を表示する。モジュールに既知の脆弱性があれば,その詳細や,さらに詳しいセキュリティレポートへのリンクも提供される。
Baldwin氏は,Enterpriseのユーザに対して近日中に,Node Securityチームが監査した検証済みモジュールの情報提供を開始する予定であることを教えてくれた。
すべての企業はオープンソースのコードやワークフロー,ツールへの移行によるメリットを享受する立場にある,とnpmは主張する。
“コミュニティがオープンソースプロジェクトを構築するのと同じ方法で,企業がプロプライエタリなコードを開発すれば,オープンソースコミュニティの方法論とツールは,ソフトウェア開発の既定の方法になるのです,”とCoe氏は述べている。
この記事を評価
- 編集者評
- 編集長アクション