@دانیل کروچدانیل
افکار گاه به گاه در مورد کدگذاری ، امنیت و مدیریت
تعداد کافی بسته برای یک مدیر بسته جاوا اسکریپت چیست؟ هزار؟ ده هزار؟
در تاریخ 4 ژوئن ، npm میلیونمین بسته خود را در فهرست عمومی خود فهرست کرد. هنگام شروع یک پروژه توسعه ، بسته های زیادی برای انتخاب وجود دارد. با این حال ، باید مراقب پیامدهای امنیتی آنها بود. حادثه امنیتی جریان-رویداد بسته npm یکی از نمونه های مهم بودن این مسئله است.
با بررسی مسئله ای که در مخزن GitHub جریان-رویداد مطرح شد ، مشخص شد که بسته رویداد-جریان حاوی یک بسته مخرب به نام
flatmap-stream
. بسته جریان رویداد بسیار محبوب و مفید بود. هر هفته تقریباً 2 میلیون بارگیری داشت. این بدان معنی بود که بسته مخرب flatmap-stream بیش از 8 میلیون بار بارگیری شده است.
به غیر از بازیگران مخرب که از بسته های مشهور محبوب برای تحویل بدافزار خود استفاده می کنند ، آسیب پذیری ها بخشی از بسته ها مسئله ای جدی است که احتمال دارد برنامه و داده های کاربر شما را به خطر بیاندازد.
CVE 2021-21321 یک آسیب پذیری در
fastify-reply-from
بسته بندی این یک پلاگین سریع برای ارسال درخواستهای فعلی HTTP به سرور دیگری است. در سناریویی که توسعه دهنده ای یک پروکسی سرور در …