降低软件包漏洞风险的6个最佳实践
极客时间编辑部
讲述:杜力大小:1.31M时长:02:52
现代的 JavaScript 开发人员都喜欢 npm,GitHub 和 npm registry 是开发人员在查找特定软件包时常去的地方。然而,人们通常忽视了存在软件包中的风险。虽然这些第三方模块在某些方面特别有用,但也会在应用程序中引入一些安全风险。
在本文中,前端 JavaScript 开发者曼尤纳斯·M(Manjunath M)将会介绍一些可以用于保护开源依赖项的行业最佳实践,并总结了六条降低这些风险的实践经验。
1. 跟踪应用程序的依赖项
开发者可以使用服务来自动化依赖项管理过程,为依赖项提供实时的监控和自动更新测试。一些常见的工具包括 GreenKeeper、Libraries .io 等,这些工具会整理依赖项列表并跟踪它们的相关信息。
2. 移除不需要的包
随着时间的推移,开发者的项目可能会积累大量不使用的依赖项。对此,可以使用 depcheck 来检查这些不使用的依赖项。depcheck 会扫描整个代码库,尝试查找 require 和 import 命令,然后将这些命令与已安装的软件包或 package.json 中提到的软件包相关联,并提供分析报告。
3. 查找并修复关键安全漏洞
最近的一项研究表明,当前,有近 15%的软件包包含已知漏洞,无论是组件还是依赖项。但是,开发者可以使用很多工具来分析代码,并发现项目中存在的开源安全风险。其中,最方便的工具是 npm audit,它可以查找和修复依赖项中的已知漏洞,从而达到保护软件包的用户的目的。
4. 使用内部替代方案替换过期的库
如果一个很受欢迎的软件包有了漏洞,被开发人员发现和修补的几率会更高。但是一个不活跃甚至被遗弃的项目,解决起来就比较麻烦了。越是使用广泛的软件包就越是受到密切的关注。因此,开发人员更有可能解决这些特定包中的已知安全问题。
5. 始终选择有人在维护的库
判断一个特定包是否活跃,最快最有效的方法就是在 npm 上检查其下载量,可以在 npm 的包主面的 Stats 里找到它。对于具有 GitHub 存储库的软件包,应该查看提交历史记录、问题跟踪器以及库的相关拉取请求。
6. 经常更新依赖项
bug 和安全漏洞会不断出现,在大多数情况下,它们会立即得到修复。一般来说,如果使用最新可用的依赖项版本,就不太可能存在安全问题。因此要定期检查并更新依赖项,验证它们的修改日期。
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线笔记
复制
AI
- 深入了解
- 翻译
- 解释
- 总结
该免费文章来自《极客视点》,如需阅读全部文章,
请先领取课程
请先领取课程
免费领取
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
登录 后留言
精选留言
由作者筛选后的优质留言将会公开显示,欢迎踊跃留言。
收起评论