npm 为安全性发布了企业版扩展包和许可证

  • James Chesters
  • 薛梦迪

2016 年 7 月 27 日

话题:JavaScript语言 & 开发

npm 发布了企业版扩展包,首次使开发者们直接集成第三方工具成为可能。

npm 企业版的总经理 Ben Coe 告诉 InfoQ:

思考:一个安全厂商的绿色选择框证实代码是安全的;一个许可证审核工具提醒一个包的依赖基于 GPL;一个 CI 工具监听着依赖的更新并警告什么应该中断……

在 npm 的博客文章《为 npm 企业版引入扩展包》中,Coe 说 npm 企业版会公布一个让第三方开发者能够直接在 npm 企业版产品上编译的 API。

为了解释这背后的驱动因素,Coe 说扩展包有“能力将你的开发工作流中分离的部分整合进一个独立的用户体验中,并除去了较大型企业没办法使用开源开发的‘许多小型复用部分’方法论的障碍”。

一个典型的 Node.js 应用使用上百个依赖:这太多了以至于不能很容易地跟踪它们。当大部分依赖都是通过另外的包的间接依赖时,就变得更具挑战性了。

Coe 将审查“外来代码的每个部分”的许可证需求比作安全性研究,他说:“试图手工确认每个依赖的许可证(以及依赖的依赖和依赖的依赖的依赖)是不可估量的。”

这个安全性风险与使用开源代码的企业相联系起来,意味着如果一个包有安全漏洞,那应用就可能变得暴露,如果漏洞是恶意的,那应用可能会受到损害。

在博客文章《npm 灾难暴露了严重的安全风险》中,Nicolás Bevacqua 说:“尽管绝大多数 npm 用户都是善意的。这就是为什么语义化的版本控制(semver)通常都行得通。通常我们可以信任包的作者,但有时就不一定了。”

Node 安全平台是 npm 的合作伙伴,它以给审核过的模块提供安全信息而著名,它在一篇博客文章中公布了他们针对 npm 企业版的安全扩展包。

NSP 的建立者 Adam Baldwin 说:

多年来,我们的 nsp 工具已成为 Node 依赖中的关键漏洞情报源。

今天开始,nsp 的安全漏洞通知将在 npm 企业版内部方便地发布。

nsp 扩展包在模块详细信息页的侧边栏中给开发者们提供了安全信息,包括模块存在已知漏洞的详细信息,并提供了更详细安全报告的链接。

Baldwin 承诺,为企业级客户即将上市的还有已验证模块的公开信息,这是由 Node 安全团队所审核的。

根据 npm 所说,每个人都行动起来,能从为企业带来开源代码、工作流和工具的活动中获利。

“当公司用与社区构建开源项目相同的方式开发专利代码时,开源社区的方法和工具就会变成构建软件的默认方式。”Coe 说道。

查看英文原文npm Releases Enterprise Add-ons for Security, Licensing


感谢夏雪对本文的审校。

给 InfoQ 中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ@丁晓昀),微信(微信号:InfoQChina)关注我们。

JavaScript语言 & 开发