Контролният списък за сигурност при пускане на пакети – какво трябва да провери всеки разработчик

Ако създавате open-source библиотеки или публикувате код в npm, работите в среда, в която атаките се развиват бързо и често са неочаквани. „Работи на моята машина“ вече не е достатъчно. Трябва да мислите за сигурността още преди да натиснете бутона за публикуване.

Защо е важно да правите преглед за сигурност преди публикуване

Един пакет в npm може да стигне до хиляди проекти и CI/CD системи. Това го прави привлекателна мишена за атакуващи. Те търсят не само потребителски данни, а и начин да проникнат в инфраструктурата, където пакетът ще се изпълнява с по-високи права.

Добрата новина е, че повечето атаки могат да бъдат предотвратени с подходящи инструменти и дисциплина.

12-те основни рискове при публикуване в npm

1. Компрометиране на акаунта и злонамерено публикуване

Ако нападател получи достъп до вашия npm акаунт, може да публикува версия на пакета с вграден зловреден код. В момента, когато потребителите инсталират актуализацията, кодът започва да се изпълнява.

Как да се защитите:

• Задължително включете 2FA
• Използвайте токени с ограничени права вместо основната парола
• Настройте одобрение за публикуване при по-чувствителни пакети
• Следете логовете за публикуване

2. Жизнени цикли на пакета и изпълнение на код при инсталация

npm позволява да се дефинират hooks като preinstall и postinstall. Атакуващите могат да използват това, за да изпълнят произволен код веднага щом пакетът се инсталира.

Как да се защитите:

• Проверете всички hooks в package.json
• Избягвайте изпълнение на код по време на инсталацията, ако е възможно
• Ако се налага, използвайте ги по минимален начин
• Помислете за алтернативи при build процеса

3. Саморазпространяващи се червеи в npm

В някои случаи злостен код може да се разпространява вътре в node_modules и да се модифицира другият код там. Това е един от най-врестоносните видат на атаките.

Как да се защитите:

• Не променяйте файловата система по време на инсталацията
• Не докосвайте другият код в node_modules
• Използвайте npm audit и други инструменти за сканиране

4. Атаки срещу CI/CD процесите

Когат пакетът се инсталира в CI/CD системите, може да се получи достъп до токените и други данни за достъп, которые се изпълни там.

Как да се защитите:

• Използвайте токени с ограничени права
• Често сменяйте токените
• Никога не съхранявайте данни за достъп в scripts в package.json
• Следете кой има достъп до публикуващият токен

5. Зависимости от Git и контрабанда на код

Когато инсталирате зависимост от Git, може да заобиколите защитите на npm. Ако атакуващият създава малко fork на Git, може да се инсталира злостен код.

Как да се защитите:

• Привържете зависимостите към npm версиите, не към Git
• Ако се нуждаете от Git, поддържайте commit hash
• Избягвайте latest или други branch позивки от непознати репо

6. Динамически зависимости, които се набират на run-time

Някота пакети могат да се набират динамиisch на run-time и да се изпълняват код заедно с него. Въ<|reserved_token_163797|>