אינטרנט ישראל
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
ראשי » פיתוח אינטרנט » פיתוח ב-JavaScript » התקנת מודולים מאובטחים ב-npm

התקנת מודולים מאובטחים ב-npm

רן בר-זיק יולי 29, 2018 11:19 am 3 תגובות

יופי של מוצר לבדיקת חבילות תוכנה – ב-node וגם בשפות אחרות

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.

אחרי שפרסמתי את הפרצה האחרונה שהתגלתה ב-npm בעקבות המחדל של eslint, שאלו אותי כיצד אפשר להמנע מבעיות כאלו. החלטתי להציג בבלוג כמה כלים שאני משתמש בהם. אם אתם מכירים כלים אחרים/ נוספים – התגובות פה 🙂 במאמר הבא אכתוב על npq אחד הכלים השימושיים ביותר הוא Snyk.io שהוא אחד מהמוצרים המוצלחים לאבטחת מידע מצד הקוד.

השבוע העברתי הרצאה ב-Javascript ישראל. כמקובל באירועים האלו, בעוד אני הרציתי על שטויות שראיתי ב-view source, האנשים שהרצו לצידי במיטאפ היו אנשים רציניים ביותר. אופיר הרפז, דני גרנדר ומתי בר-זאב הם מפתחים וחוקרים בקנה מידה בינלאומי והעבירו הרצאות מעניינות ביותר. דני גרנדר הוא המייסד המשותף של חברת snyk. הוא לא דיבר על זה בהרצאה אבל שווה לדבר על הכלי של החברה שלו. בגדול, ל-snyk יש מאגר נתונים עצום על מודולים של node שנמצאים ב-npm כולל חורי האבטחה שלהם שלא תוקנו. בהקלדה מאוד פשוט כל מפתח יכול לדעת בשניות אם המודול שהוא חושב להתקין חשוף או לא דרך הקונסולה (כן כן נודניקים, גם בחלונות). זה כמובן צד אחד קטן של המוצר אבל הצד שאני רוצה לדבר עליו.

איך משתמשים בזה? נכנסים לאתר של snyk,io ונרשמים. מיד אחרי הרישום אפשר להכנס לדף הזה ולעקוב אחר ההוראות. בגדול זה די פשוט. מדובר במודול node גלובלי שאפשר להפעיל אותו דרך הקונסולה (אמרתי שגם בחלונות לא?). אחרי שנרשמים דרך האתר ממש בפשטות, נפתח את הקונסולה (אם אנחנו בלינוקס או במק) או ה-cmd אם אנחנו בחלונות. כדי להוכיח לכם שזה עובד גם שם, ההדגמות יהיו ב-cmd.

אז קודם כל מתקינים:

npm install -g snyk

אחרי זה עושים התחברות.

snyk auth

אחרי כמה שניות, תקבלו הודעה שהכל תקין ו… אפשר להשתמש.

Your account has been authenticated. Snyk is now ready to be used.

כיוון שהתקנו את המודול באופן גלובלי, אנחנו יכולים לעבוד יפה עם snyk בשורה הגלובלית. בואו ונבדוק! נניח שאני רוצה לבדוק את מודול express שהוא מודול חשוב ביותר. האם יש לו פרצות ידועות? (טוב, אל תהיו במתח, הוא תקין, אם יש בו פרצות אבוד לנו). אם נריץ

snyk test express

נראה שהכל תקין:
Tested express for known vulnerabilities, no vulnerable paths found.

אבל אם למשל נבדוק משהו שאנחנו יודעים שיש בו בעיה, כמו למשל גרסה 3 המיושנת של express (היום אנחנו בגרסה 4) – נראה ש… אלוהים שיעזור ויציל:
Tested express@3 for known vulnerabilities, found 7 vulnerabilities, 38 vulnerable paths.

Tested express@3 for known vulnerabilities, found 7 vulnerabilities, 38 vulnerable paths.

יש ל-snyk עוד תכונות חשובות כמו ה-wizard שיעזור לכם לשדרג חבילות דפוקות (וזה עיקר השירות) אפשר למשל בריפוזיטורי שלכם (איפה שיש את ה-package.json) להקליד:

snyk monitor

ולקבל תמונת מצב מלאה על הפרויקט ואף לקבל מייל במידה ובמאגרים של snyk יתגלה משהו חדש. מעניין, לא? בכל רגע נתון אפשר לראות את סטטוס הפרויקט.

הייתי יכול להמשיך לחפור פה אבל חבל. אתם מודעים ל-snyk? שחקו יפה. מתקינים משהו חדש? בדקו עם snyk את המצב שלו. אולי יש דברים שיפתיעו אתכם.

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.
node.js אבטחת מידע

3 תגובות

  1. משה הגב יולי 29, 2018 בשעה 11:53 am

    תודה לך אני מתחיל את הצעדים שלי בתחום הפיתוח
    רק דרך המדריכים שלך

  2. רובי ריבלין הגב יולי 29, 2018 בשעה 6:29 pm

    מגניב. יש משהו דומה לאקוסיסטם של Ruby on Rails?

  3. אורן הגב יולי 30, 2018 בשעה 8:44 am

    מאמר מעולה כרגיל. הולך לבדוק איך זה עושה לי חיים קלים יותר עם php.
    ברמה ההיפותטית, זה יכול לסייע לי לאתר כשלים גם בתוספים המותקנים באתרים שונים, לא?

השארת תגובה

ביטול

ללמוד ג'אווהסקריפט בעברית

ללמוד לתכנת ג'אווהסקריפט בעברית שגייס יותר משלוש מאות אלף שקל ולמעלה מ-2000 תומכים - בואו ללמוד עכשיו איך לתכנת.

רשימת הנושאים
  • מדריכים
    • ריאקט
    • טייפסקריפט
    • ECMAScript 6
    • ES20XX
    • Node.js
    • Express
    • רספברי פיי
    • Babel
    • docker
    • MongoDB
    • Git
    • לימוד MySQL
    • SASS
    • jQuery
    • CSS3
    • HTML 5
    • SVN
    • LESS
  • פיתוח אינטרנט
    • פתרונות ומאמרים על פיתוח אינטרנט
    • jQuery Scripts
    • jQuery למתקדמים
    • יסודות בתכנות
    • נגישות אינטרנט
  • חדשות אינטרנט
  • מידע כללי על אינטרנט
    • רשת האינטרנט
    • בניית אתרי אינטרנט
  • rss logo

    לכל המאמרים

    לכל המאמרים שפורסמו באינטרנט ישראל משנת 2008 ועד עכשיו.
  • rss logo

    RSS Feed

    משתמשים בקורא RSS? אם כן, עקבו אחרי אינטרנט ישראל באמצעות פיד ה-RSS!
    מה זה RSS?
  • Twitter logo

    עקבו אחרי בטוויטר

    בחשבון הטוויטר שלי אני מפרסם עדכונים מהירים על חדשות בתחום התכנות והיזמות, התרעות על מצבי חירום ורכילות בוערת על תחום הווב.
    מה זה טוויטר?
  • facebook like image

    ערוץ הטלגרם של אינטרנט ישראל

    בערוץ הטלגרם של אינטרנט ישראל אני מפרסם את הפוסטים של באתר וכן עדכונים טכנולוגיים נוספים.
    מה זה טלגרם?
  • github logo

    הפרויקטים שלי בגיטהאב

    הפרויקטים שאני כותב ושוחררו לציבור ברישיון קוד פתוח נמצאים ברובם בגיטהאב.
חיפוש

כל הזכויות שמורות לרן בר-זיק ולאינטרנט ישראל | מדיניות הפרטיות של אתר אינטרנט ישראל | אתר אינטרנט ישראל נגיש לפי תקן WCAG 2.0 AA | הצהרת הנגישות של האתר | אבטחת מידע ודיווח על בעיית אבטחת מידע

גלילה לראש העמוד