דף הבית פיתוח אינטרנט פתרונות ומאמרים על פיתוח אינטרנט בדיקה עם npq כדי לוודא התקנה תקינה של מודולים

בדיקה עם npq כדי לוודא התקנה תקינה של מודולים

אוגוסט 5, 2018 תגיות : בקטגוריה: פתרונות ומאמרים על פיתוח אינטרנט
המאמר נכתב על ידי רן בר-זיק, מתכנת מנוסה וכותב כל המאמרים באתר אינטרנט ישראל.

במאמר הקודם סיפרתי על snyk, שזה יופי של כלי לבדיקת חבילות תוכנה לפרצות ידועות. אבל אבטחת מידע לא קשורה רק לדברים שמצאו. כשמתכנתים (במיוחד צעירים אבל לא רק) מתקינים מודולים, הם לא תמיד שמים לב לסימני אזהרה. אם המודול סוגר את הפינה, אז הוא סוגר. מתכנתים יותר מבוגרים ישימו לב לדברים אחרים – כמה התקנות יש למודול? האם המתחזק שלו באמת מתחזק אותו או יצר אותו לפני שלוש שנים ושכח מזה? האם יש לו בכלל README? ועוד שפע של פרטים. על מנת להכניס סוג-של-אוטומציה לסיפור הזה, יש את מודול npq. מי שעומד מאחורי npq הוא לירן טל, מתכנת רב פעלים. מה שמעניין הוא שהוא כתב ספר (מוצלח במיוחד ומומלץ) על אבטחה ב-node.js שדני גרנדר, המייסד של סניק, עשה לו technical review. עולם קטן, לא?

אז מה זה npq? הוא מעטפת מעל npm שעושה את כל הבדיקות האלו. כדי להתקין אותו, אנחנו נכתוב 

npm install -g npq

כן כן, גם ב-cmd זה יעבוד לכם. עכשיו, אפשר להשתמש ב-npq בדיוק כמו npm (אפשר גם להשתמש בו מעל yarn אם אתם משועממים מספיק). נניח ואני רוצה להתקין את express, כל מה שאצטרך לעשות זה npq i express. המודול npq מעביר את זה ל-npm איך שהוא (הוא לא “מחליף את npm) אבל לפני זה עושה כמה בקשות חשובות במיוחד:

npq i express √ Checking package maturity √ Identifying package author... √ Checking package download popularity √ Checking availability of a README √ Identifying package repository... √ Checking package for pre/post install scripts

npq יבדוק כל מיני דברים – כמה התקנות יש למודול, האם יש מייל לעורך שלו, האם יש מספיק מורידים למודול והכי חשוב: האם יש post\pre install scripts חשודים. שימו לב שלמודול הזה יש אינטגרציה עם snyk – אבל היא תעבוד רק ללקוחות משלמים של snyk. לירן אמר לי שהוא עובד על חיבור גם למסדי נתונים חינמיים (שייתכן שהם פחות טובים). אם אתם רוצים להריץ אותו בלי שהוא ינסה לעשות אינטגרציה עם snyk, צריך להכריז על משתנה סביבה של 

MARSHALL_DISABLE_SNYK=1

בחלונות עושים את זה ככה:

setx MARSHALL_DISABLE_SNYK 1

ואז הבדיקה תדלג על snyk.

אם אני אנסה להתקין מודול מפוקפק או אפילו מודול שיש איתו בעיה, npq פשוט יתריע לי (לא יחסום) והבחירה היא שלי. בדיוק כמו מתכנת מנוסה שיאמר לך “תשמע יא באבא, זה לא רעיון טוב להתקין מודול שקוראים לו jquey”.

שילוב של snyk ושל npq הוא שילוב מנצח. באמת. מצד אחד snyk (וגם ‘npm audit’ ואחרים שדומים לו) יתנו תמונה מלאה על חולשות ידועות. מצד שני, npq יתן לכם התראות על code smells בכל הנוגע לחבילות ויתריע על דברים משונים שיהיו ב post\pre install עוד לפני שמישהו ידווח. קריטי במקרה של חדירות למודולים פופולריים (כמו eslint שהשתמש ב post install) ויותר קריטי במידה ואנחנו משתמשים במודולים נידחים.

חשוב לבדוק כל חבילה במיוחד אם אנו משתמשים בקוד פתוח. גם npq וגם snyk נבנו כך שקל להשתמש בהם גם בתהליך פיתוח וגם בתהליך בילד. במקרה של npq זה מוצר חינמי עם יכולות חשובות שמשלימות את ‘npm audit’ (שלא כתבתי עליו עדיין אבל אכתוב). במקרה של snyk – עבור המפתח הבודד זה חינם וכדאי להתנסות. אפשר וכדאי לעטוף את ה-npm עם npq עוד היום.

כדאי תמיד להשאר מעודכנים! הרשמו לעדכונים של האתר במייל! - המייל יישלח כל יום ראשון בעשר בבוקר ויכיל אך ורק את המאמרים שהתפרסמו באינטרנט ישראל. ללא ספאם, ללא הצפות, ללא בלגנים. אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂

אהבתם? לא אהבתם? דרגו!

לא אהבתי בכלללא אהבתיבסדראהבתיאהבתי מאוד (1 הצבעות, ממוצע: 5.00 מתוך 5)


יאללה, שתפו :)

אל תשארו מאחור! יש עוד מה ללמוד!

4 comments on “בדיקה עם npq כדי לוודא התקנה תקינה של מודולים
  1. יאיר הגיב:
    אוגוסט 5, 2018 בשעה 2:27 pm

    מה הבעיה עם jquey ?

    הגב
  2. דוד הגיב:
    אוגוסט 7, 2018 בשעה 11:47 am

    מי משתמש היום ב-npm? כולם עברו ל-yarn.

    הגב
  3. מישהו הגיב:
    אוקטובר 29, 2018 בשעה 1:26 pm

    ל Snyk יש מודל רישוי חינמי, רק להעיר.

    הגב

כתיבת תגובה

האימייל לא יוצג באתר.

רישום