npm audit

איך בודקים חולשות ב-dependencies שלכם באופן אוטומטי ב-Node.js
Node.js Logo

יצא לי לעבוד המון עם npm audit בחודשים ואפילו בשנים האחרונות, ואז יצא לי לדבר עם לא מעט מתכנתים רציניים וגיליתי שלא כולם מכירים ויודעים. אז יאללה, הגיע הזמן לכתוב על זה כמה מילים. בגדול, הפיצ'ר הזה נמצא מ-npm גרסה 6.

מה הוא עושה? הוא בודק אם יש חורי אבטחה ב-dependencies שלכם. איזה חורי אבטחה? יש כל הזמן חורי אבטחה שמתגלים במודולים של Node.js. זה טבע העולם וחלק מממעגל החיים הפיתוחי. חורים מתגלים ואז המפתחים של המודולים מוציאים תיקונים עם גרסאות חדשות. זה טבעי וזה קורה בכל המודולים. בעבר, אם מישהו הוציא תיקון ושדרג את הגרסה לאיזה dependency שיש לקוד שלי, לא הייתי יודע מזה. אבל היום, npm ברוב טובו מודיע לי על זה.

אם יש לכם npm 6 ואתם עושים install למודול כלשהו, אתם תראו בתחתית, מייד אחרי ההתקנה, את הטקסט הזה:

audited 435 packages in 2.667s
found 0 vulnerabilities

או משהו בסגנון. זה אומר שכל הגרסאות של ה-dependencies שלכם מעודכנות. אבל אם יש לכם פחות מזל, תראו תוצאה אחרת. כמו למשל:

audited 2959 packages in 5.483s
found 182 vulnerabilities (95 low, 3 moderate, 84 high)
  run `npm audit fix` to fix them, or `npm audit` for details

מה זה אומר? זה אומר שב-dependencies שלכם, או באחת ה- dependencies של ה- dependencies התגלו חורי אבטחה ויש לשדרג את ה- dependencies כדי לסגור את הפרצות. תזכרו שפרצות או חולשות ב- dependencies הן בעצם חולשות במוצר שלכם.

אם תרצו פירוט יותר גדול על חורי האבטחה, תוכלו להקליד npm audit ולראות את כל חורי האבטחה האלו, מהיכן הם מגיעים – ולהחליט מה לשדרג ומה לא.

עדכון אוטומטי

אני לא צריך לשבור את הראש בוגע לעדכונים. עדכוני minor ו-patch יכולים להעשות אוטומטית. רגע, מה? זה הזמן להכנס ל-SemVer שזה ראשי תבות של Semantic Versioning.

למי שלא יודע – מודולים ב-Node.js עובדים באמצעות SemVer שזה אומר בעצם שאם יש לי מספר גרסה, כמו למשל 12.13.14 – אז אם אני רואה שמישהו קידם את המספר הקטן, למשל 12.13.15 או 12.13.16 אז השינוי הזה נקרא patch. הוא שינוי שלא שובר כלום ולעדכן אותו לא יזיק כלל. אם אני רואה שמישהו קידם את המספר הבינוני כמו 12.14.14 או 12.15.14 אז גם זה שינוי שלא אמור לשבור כלום כי הוא מספק תאימות לאחור. הוא נקרא minor. אבל שינוי מהותי, בספרה הגדולה – כמו למשל 13.13.14 או 14.13.14 הוא שינוי שובר וצריך להתייחס אליו בזהירות. השינוי הזה נקרא major. כל המודולים של Node.js אמורים לעבוד כך.

למה זה חשוב? זה חשוב אם אני מוצא בעיות באמצעות npm audit. כשאני עושה npm audit, אני רואה איך לעדכן את המודולים כדי למנוע את בעיות האבטחה.

אם אני עושה npm audit ורואה שכל השינויים יכולים להיות מתוקנים באמצעות קידום של גרסת patch או minor. אני יכול לעדכן אותם בבטחה. אם למשל כדי לסגור חור אבטחה מודול מסוים עבר מגרסה 1.2.3 לגרסה 1.2.4 – עדכון של ה- dependencies לא ישבור לי את הקוד.

אני יכול לעדכן את כל ה- dependencies באמצעות npm audit –fix. אם אני מריץ את הפקודה הזו, npm תעבור על ה-package.json שלי ותעדכן את מה שצריך כאשר היא נשארת בגבולות ה-minor וה-patch – גבולות שאין בהם סכנה. היא גם תעדכן את ה package-lock.json בהתאם.

אם יש שינויים של major, אז תצטרכו לעשות את זה ידנית. יש סיכוי שזה ישבור את הקוד שלכם. אם כן – זה הזמן לעשות הערכת סיכונים.

מה שחשוב הוא, לוודא שה-package-lock.json מעודכן כמו שצריך ונכנס אחר כך ל-code base שלכם. למה? על זה אני אכתוב במאמר הבא.

פוסטים נוספים שכדאי לקרוא

ספריות ומודולים

מציאת PII באמצעות למידת מכונה

כך תגנו על משתמשים שלכם שמעלים מידע אישי רגיש כמו תעודות זהות באמצעות שירות אמאזוני.

פתרונות ומאמרים על פיתוח אינטרנט

יישום של nonce על מנת להגן מפני התקפות injection

בפוסט הקודם הסברתי על hash עם CSP על משאבי inline – שזה נחמד ומעולה אבל פחות ישים בעולם האמיתי שבו בדרך כלל התוכן ה-inline (בין

תמונת תצוגה של מנעול על מחשב
פתרונות ומאמרים על פיתוח אינטרנט

הגנה מפני XSS עם Trusted Types

תכונה ב-CSP שמאפשרת מניעה כמעט הרמטית להתקפות XSS שכל מפתח ווב צריך להכיר וכדאי שיכיר.

תמונה מצוירת של רובוט שמנקה HTML
יסודות בתכנות

סניטציה – למה זה חשוב

הסבר על טכניקה פשוטה וידועה מאד שאנו מפעילים על מידע לפני שאנחנו מציגים אותו ב-HTML באפליקציה או באתר.

גלילה לראש העמוד