写点什么

npm 为安全性发布了企业版扩展包和许可证

2016 年 7 月 27 日

npm 发布了企业版扩展包,首次使开发者们直接集成第三方工具成为可能。

npm 企业版的总经理 Ben Coe 告诉 InfoQ:

思考:一个安全厂商的绿色选择框证实代码是安全的;一个许可证审核工具提醒一个包的依赖基于 GPL;一个 CI 工具监听着依赖的更新并警告什么应该中断……

在 npm 的博客文章《为npm 企业版引入扩展包》中,Coe 说npm 企业版会公布一个让第三方开发者能够直接在npm 企业版产品上编译的API。

为了解释这背后的驱动因素,Coe 说扩展包有“能力将你的开发工作流中分离的部分整合进一个独立的用户体验中,并除去了较大型企业没办法使用开源开发的‘许多小型复用部分’方法论的障碍”。

一个典型的Node.js 应用使用上百个依赖:这太多了以至于不能很容易地跟踪它们。当大部分依赖都是通过另外的包的间接依赖时,就变得更具挑战性了。

Coe 将审查“外来代码的每个部分”的许可证需求比作安全性研究,他说:“试图手工确认每个依赖的许可证(以及依赖的依赖和依赖的依赖的依赖)是不可估量的。”

这个安全性风险与使用开源代码的企业相联系起来,意味着如果一个包有安全漏洞,那应用就可能变得暴露,如果漏洞是恶意的,那应用可能会受到损害。

在博客文章《npm 灾难暴露了严重的安全风险》中,Nicolás Bevacqua 说:“尽管绝大多数npm 用户都是善意的。这就是为什么语义化的版本控制(semver)通常都行得通。通常我们可以信任包的作者,但有时就不一定了。”

Node 安全平台是 npm 的合作伙伴,它以给审核过的模块提供安全信息而著名,它在一篇博客文章中公布了他们针对npm 企业版的安全扩展包。

NSP 的建立者 Adam Baldwin 说:

多年来,我们的 nsp 工具已成为 Node 依赖中的关键漏洞情报源。

今天开始,nsp 的安全漏洞通知将在 npm 企业版内部方便地发布。

nsp 扩展包在模块详细信息页的侧边栏中给开发者们提供了安全信息,包括模块存在已知漏洞的详细信息,并提供了更详细安全报告的链接。

Baldwin 承诺,为企业级客户即将上市的还有已验证模块的公开信息,这是由 Node 安全团队所审核的。

根据 npm 所说,每个人都行动起来,能从为企业带来开源代码、工作流和工具的活动中获利。

“当公司用与社区构建开源项目相同的方式开发专利代码时,开源社区的方法和工具就会变成构建软件的默认方式。”Coe 说道。

查看英文原文 npm Releases Enterprise Add-ons for Security, Licensing


感谢夏雪对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们。

2016 年 7 月 27 日 19:00835
用户头像

发布了 26 篇内容, 共 54768 次阅读, 收获喜欢 0 次。

关注

评论

发布
暂无评论
发现更多内容

作业 - 第三周

Happy-Coming

「架构师训练营」第 3 周 学习总结

guoguo 👻

极客大学架构师训练营

架构师训练营第三周课后作业

Cloud.

「架构师训练营」第 3 周作业

旭东(Frank)

极客大学架构师训练营 作业

第三周总结

Linuxer

单例模式的三种

王锟

第三周作业

赵龙

第三章 课后作业

姜 某某

案例篇:服务吞吐量下降很厉害,怎么分析?

程序员老王

学习总结—第三周

于江水

极客大学架构师训练营

架构师培训营第三周总结

王锟

macOS Big Sur、iOS14测试版描述文件

Winann

iOS14 macOS Big Sur 描述文件

Apache Zeppelin:可能是开源届最好的Flink开发平台

章剑锋_Jeff

大数据 flink 流计算 Zeppelin

架构师训练营——第三周作业

jiangnanage

新基建核心技术人才缺口将达420万

CECBC区块链专委会

新基建 人才缺口 核心技术人才

架构师训练营第 3 周作业

在野

极客大学架构师训练营

关于区块链的那些事,看完可以防忽悠

CECBC区块链专委会

分布式 区块链技术 共识与信任

第三周学习总结

赵龙

架构师训练营第三周作业

好名字

作业

数据库周刊29│2020数据库研究报告;Oracle取消今年技术大会;腾讯云DBbridge发布支持一键迁库;饿了么迁至阿里云;PG数组查询;Oracle被比特币勒索;DM8 安全管理…

墨天轮

MySQL 数据库 postgresql 腾讯云 阿里云

命题作业—第三周

于江水

极客大学架构师训练营

第 3 周 - 学习总结

大海

腾讯健康码16亿亮码背后的Elasticsearch系统调优实践

小小的一朵云

大数据 elasticsearch

架构师三期作业

老姜

是时候扔掉 Postman 了,Apifox 真香!

狐哥说技术

Postman 面向接口编程 Apifox 接口文档 接口测试

KairosDB Client使用总结

刘先强

设计模式是架构师的必备武器

老姜

职能合约将如何在未来掀起一场革命?

CECBC区块链专委会

智能合约 区块链技术 去中心化 防篡改 自动执行

几种设计模式的使用场景

Acker飏

极客大学架构师训练营

老板不断加需求、改需求的四种应对方法

金刚小书童

项目管理 需求管理

环信大学:AI赋能万亿"618",0成本轻松5步开启您的智慧客服之旅

DT极客

微服务架构下如何保证事务的一致性

微服务架构下如何保证事务的一致性

npm为安全性发布了企业版扩展包和许可证-InfoQ