npm 为安全性发布了企业版扩展包和许可证

npm 发布了企业版扩展包，首次使开发者们直接集成第三方工具成为可能。

npm 企业版的总经理 Ben Coe 告诉 InfoQ：

思考：一个安全厂商的绿色选择框证实代码是安全的；一个许可证审核工具提醒一个包的依赖基于 GPL；一个 CI 工具监听着依赖的更新并警告什么应该中断……

在 npm 的博客文章《为npm 企业版引入扩展包》中，Coe 说npm 企业版会公布一个让第三方开发者能够直接在npm 企业版产品上编译的API。

为了解释这背后的驱动因素，Coe 说扩展包有“能力将你的开发工作流中分离的部分整合进一个独立的用户体验中，并除去了较大型企业没办法使用开源开发的‘许多小型复用部分’方法论的障碍”。

一个典型的Node.js 应用使用上百个依赖：这太多了以至于不能很容易地跟踪它们。当大部分依赖都是通过另外的包的间接依赖时，就变得更具挑战性了。

Coe 将审查“外来代码的每个部分”的许可证需求比作安全性研究，他说：“试图手工确认每个依赖的许可证（以及依赖的依赖和依赖的依赖的依赖）是不可估量的。”

这个安全性风险与使用开源代码的企业相联系起来，意味着如果一个包有安全漏洞，那应用就可能变得暴露，如果漏洞是恶意的，那应用可能会受到损害。

在博客文章《npm 灾难暴露了严重的安全风险》中，Nicolás Bevacqua 说：“尽管绝大多数npm 用户都是善意的。这就是为什么语义化的版本控制（semver）通常都行得通。通常我们可以信任包的作者，但有时就不一定了。”

Node 安全平台是 npm 的合作伙伴，它以给审核过的模块提供安全信息而著名，它在一篇博客文章中公布了他们针对npm 企业版的安全扩展包。

NSP 的建立者 Adam Baldwin 说：

多年来，我们的 nsp 工具已成为 Node 依赖中的关键漏洞情报源。

今天开始，nsp 的安全漏洞通知将在 npm 企业版内部方便地发布。

nsp 扩展包在模块详细信息页的侧边栏中给开发者们提供了安全信息，包括模块存在已知漏洞的详细信息，并提供了更详细安全报告的链接。

Baldwin 承诺，为企业级客户即将上市的还有已验证模块的公开信息，这是由 Node 安全团队所审核的。

根据 npm 所说，每个人都行动起来，能从为企业带来开源代码、工作流和工具的活动中获利。

“当公司用与社区构建开源项目相同的方式开发专利代码时，开源社区的方法和工具就会变成构建软件的默认方式。”Coe 说道。

查看英文原文： npm Releases Enterprise Add-ons for Security, Licensing

感谢夏雪对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作，请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博（ @InfoQ ， @丁晓昀），微信（微信号： InfoQChina ）关注我们。