אינטרנט ישראל
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
ראשי » פיתוח אינטרנט » פיתוח ב-JavaScript » npm audit

npm audit

רן בר-זיק יוני 30, 2019 7:07 am אין תגובות

איך בודקים חולשות ב-dependencies שלכם באופן אוטומטי ב-Node.js

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.

יצא לי לעבוד המון עם npm audit בחודשים ואפילו בשנים האחרונות, ואז יצא לי לדבר עם לא מעט מתכנתים רציניים וגיליתי שלא כולם מכירים ויודעים. אז יאללה, הגיע הזמן לכתוב על זה כמה מילים. בגדול, הפיצ'ר הזה נמצא מ-npm גרסה 6.

מה הוא עושה? הוא בודק אם יש חורי אבטחה ב-dependencies שלכם. איזה חורי אבטחה? יש כל הזמן חורי אבטחה שמתגלים במודולים של Node.js. זה טבע העולם וחלק מממעגל החיים הפיתוחי. חורים מתגלים ואז המפתחים של המודולים מוציאים תיקונים עם גרסאות חדשות. זה טבעי וזה קורה בכל המודולים. בעבר, אם מישהו הוציא תיקון ושדרג את הגרסה לאיזה dependency שיש לקוד שלי, לא הייתי יודע מזה. אבל היום, npm ברוב טובו מודיע לי על זה.

אם יש לכם npm 6 ואתם עושים install למודול כלשהו, אתם תראו בתחתית, מייד אחרי ההתקנה, את הטקסט הזה:

audited 435 packages in 2.667s
found 0 vulnerabilities

או משהו בסגנון. זה אומר שכל הגרסאות של ה-dependencies שלכם מעודכנות. אבל אם יש לכם פחות מזל, תראו תוצאה אחרת. כמו למשל:

audited 2959 packages in 5.483s
found 182 vulnerabilities (95 low, 3 moderate, 84 high)
  run `npm audit fix` to fix them, or `npm audit` for details

מה זה אומר? זה אומר שב-dependencies שלכם, או באחת ה- dependencies של ה- dependencies התגלו חורי אבטחה ויש לשדרג את ה- dependencies כדי לסגור את הפרצות. תזכרו שפרצות או חולשות ב- dependencies הן בעצם חולשות במוצר שלכם.

אם תרצו פירוט יותר גדול על חורי האבטחה, תוכלו להקליד npm audit ולראות את כל חורי האבטחה האלו, מהיכן הם מגיעים – ולהחליט מה לשדרג ומה לא.

עדכון אוטומטי

אני לא צריך לשבור את הראש בוגע לעדכונים. עדכוני minor ו-patch יכולים להעשות אוטומטית. רגע, מה? זה הזמן להכנס ל-SemVer שזה ראשי תבות של Semantic Versioning.

למי שלא יודע – מודולים ב-Node.js עובדים באמצעות SemVer שזה אומר בעצם שאם יש לי מספר גרסה, כמו למשל 12.13.14 – אז אם אני רואה שמישהו קידם את המספר הקטן, למשל 12.13.15 או 12.13.16 אז השינוי הזה נקרא patch. הוא שינוי שלא שובר כלום ולעדכן אותו לא יזיק כלל. אם אני רואה שמישהו קידם את המספר הבינוני כמו 12.14.14 או 12.15.14 אז גם זה שינוי שלא אמור לשבור כלום כי הוא מספק תאימות לאחור. הוא נקרא minor. אבל שינוי מהותי, בספרה הגדולה – כמו למשל 13.13.14 או 14.13.14 הוא שינוי שובר וצריך להתייחס אליו בזהירות. השינוי הזה נקרא major. כל המודולים של Node.js אמורים לעבוד כך.

למה זה חשוב? זה חשוב אם אני מוצא בעיות באמצעות npm audit. כשאני עושה npm audit, אני רואה איך לעדכן את המודולים כדי למנוע את בעיות האבטחה.

אם אני עושה npm audit ורואה שכל השינויים יכולים להיות מתוקנים באמצעות קידום של גרסת patch או minor. אני יכול לעדכן אותם בבטחה. אם למשל כדי לסגור חור אבטחה מודול מסוים עבר מגרסה 1.2.3 לגרסה 1.2.4 – עדכון של ה- dependencies לא ישבור לי את הקוד.

אני יכול לעדכן את כל ה- dependencies באמצעות npm audit –fix. אם אני מריץ את הפקודה הזו, npm תעבור על ה-package.json שלי ותעדכן את מה שצריך כאשר היא נשארת בגבולות ה-minor וה-patch – גבולות שאין בהם סכנה. היא גם תעדכן את ה package-lock.json בהתאם.

אם יש שינויים של major, אז תצטרכו לעשות את זה ידנית. יש סיכוי שזה ישבור את הקוד שלכם. אם כן – זה הזמן לעשות הערכת סיכונים.

מה שחשוב הוא, לוודא שה-package-lock.json מעודכן כמו שצריך ונכנס אחר כך ל-code base שלכם. למה? על זה אני אכתוב במאמר הבא.

כדאי תמיד להשאר מעודכנים! אם יש לכם טלגרם, בדקו את ערוץ הטלגרם של האתר שבו אני מעדכן על פוסטים חדשים 🙂 אם אתם רוצים ללמוד תכנות באופן מקיף ומסודר, הצטרפו לאלפי הלומדים בפרויקט "ללמוד ג'אווהסקריפט בעברית" שמלמד לתכנת בג'אווהסקריפט, ב-Node.js ובריאקט וגם מלמד על תרומה לקוד פתוח. גם ספרים דיגיטליים וגם ספרים מודפסים. בשיתוף הקריה האקדמית אונו ובתמיכת חברות מובילות כגון Wix, Outbrain, Elementor, Iron Source, Chegg, Really Good ועוד.
node.js

השארת תגובה

ביטול

ללמוד ג'אווהסקריפט בעברית

ללמוד לתכנת ג'אווהסקריפט בעברית שגייס יותר משלוש מאות אלף שקל ולמעלה מ-2000 תומכים - בואו ללמוד עכשיו איך לתכנת.

רשימת הנושאים
  • מדריכים
    • ריאקט
    • טייפסקריפט
    • ECMAScript 6
    • ES20XX
    • Node.js
    • Express
    • רספברי פיי
    • Babel
    • docker
    • MongoDB
    • Git
    • לימוד MySQL
    • SASS
    • jQuery
    • CSS3
    • HTML 5
    • SVN
    • LESS
  • פיתוח אינטרנט
    • פתרונות ומאמרים על פיתוח אינטרנט
    • jQuery Scripts
    • jQuery למתקדמים
    • יסודות בתכנות
    • נגישות אינטרנט
  • חדשות אינטרנט
  • מידע כללי על אינטרנט
    • רשת האינטרנט
    • בניית אתרי אינטרנט
  • rss logo

    לכל המאמרים

    לכל המאמרים שפורסמו באינטרנט ישראל משנת 2008 ועד עכשיו.
  • rss logo

    RSS Feed

    משתמשים בקורא RSS? אם כן, עקבו אחרי אינטרנט ישראל באמצעות פיד ה-RSS!
    מה זה RSS?
  • Twitter logo

    עקבו אחרי בטוויטר

    בחשבון הטוויטר שלי אני מפרסם עדכונים מהירים על חדשות בתחום התכנות והיזמות, התרעות על מצבי חירום ורכילות בוערת על תחום הווב.
    מה זה טוויטר?
  • facebook like image

    ערוץ הטלגרם של אינטרנט ישראל

    בערוץ הטלגרם של אינטרנט ישראל אני מפרסם את הפוסטים של באתר וכן עדכונים טכנולוגיים נוספים.
    מה זה טלגרם?
  • github logo

    הפרויקטים שלי בגיטהאב

    הפרויקטים שאני כותב ושוחררו לציבור ברישיון קוד פתוח נמצאים ברובם בגיטהאב.
חיפוש

כל הזכויות שמורות לרן בר-זיק ולאינטרנט ישראל | מדיניות הפרטיות של אתר אינטרנט ישראל | אתר אינטרנט ישראל נגיש לפי תקן WCAG 2.0 AA | הצהרת הנגישות של האתר | אבטחת מידע ודיווח על בעיית אבטחת מידע

גלילה לראש העמוד