Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Lar
Jun 29, 2023
Revisão do NPM recente
O NPM ganhou as manchetes depois que uma taxa impressionante de vulnerabilidades foi descoberta em mais de 50 pacotes populares, colocando em risco inúmeros projetos e organizações. Infelizmente, muitas organizações
O NPM ganhou as manchetes depois que uma taxa impressionante de vulnerabilidades foi descoberta em mais de 50 pacotes populares, colocando em risco inúmeros projetos e organizações. Infelizmente, muitas organizações subestimam ou ignoram as vulnerabilidades do NPM. Você é um dos muitos desenvolvedores que confiam no NPM sem perceber as inúmeras falhas de segurança em seu código? É hora de olhar mais de perto e entender o que pode estar escondido em seus projetos.
Descobriremos as descobertas mais recentes do cenário de segurança do NPM e por que é crucial que você priorize a segurança do gerenciador de pacotes em seu processo de desenvolvimento.
NPM (Node Package Manager) é um gerenciador de pacotes para Node.js. Desde a sua primeira introdução em 2009, a sua popularidade cresceu devido à sua facilidade de utilização e ao repositório substancial de pacotes, com mais de 1,3 milhões de pacotes e 100 mil milhões de downloads por mês.
O NPM permite que os desenvolvedores instalem, gerenciem e compartilhem facilmente pacotes usados em projetos de desenvolvimento web. O popular ambiente de execução JavaScript do lado do servidor, Node.js, vem com NPM pré-empacotado, tornando mais fácil para os desenvolvedores interagirem com o registro NPM para instalar pacotes e gerenciar suas dependências de projeto. O Node Package Manager é um gerenciador de pacotes robusto e bem pensado que consiste em dois componentes principais:
O registro NPM é um dos repositórios centralizados mais populares de pacotes de código aberto que permite aos desenvolvedores acessar e baixar vários pacotes facilmente.
Quando um desenvolvedor deseja usar um pacote em seu projeto, ele pode procurá-lo no registro NPM usando o NPM CLI (Command Line Interface). Depois de encontrar o pacote desejado, eles podem instalá-lo facilmente em seus projetos com um único comando.
Além de o registro NPM ser um local para encontrar e instalar pacotes, ele também ajuda os desenvolvedores a gerenciar dependências entre pacotes. Quando um desenvolvedor instala um pacote, o NPM instala automaticamente todas as dependências necessárias, facilitando aos desenvolvedores o gerenciamento do pacote que usam em seus projetos.
NPM CLI (Command Line Interface) é uma ferramenta de linha de comando que os desenvolvedores usam para interagir com o Node Package Manager. É uma ferramenta poderosa que permite aos desenvolvedores instalar, gerenciar e compartilhar facilmente pacotes de código usados em projetos de desenvolvimento web.
A CLI do NPM vem com o Node.js e os desenvolvedores podem acessá-la facilmente por meio do terminal ou prompt de comando em qualquer sistema operacional. Ele permite que os desenvolvedores executem uma série de comandos para realizar diversas ações, como:
Embora o NPM permita que os desenvolvedores pesquisem, instalem e mantenham rapidamente os pacotes necessários do registro do NPM, o uso de pacotes dentro do repositório traz seu próprio conjunto de desafios.
Como o registro NPM é uma coleção de pacotes de código aberto, a responsabilidade de manter esses pacotes recai nas mãos dos contribuidores e proprietários de cada pacote. Embora muitos projetos de código aberto prosperem com o apoio da comunidade, alguns pacotes passam despercebidos e acabam apresentando problemas e falhas de segurança significativos. Portanto, os desenvolvedores que usam esses pacotes devem estar atentos à sua estabilidade ao considerar os pacotes.
Para colocar as coisas em perspectiva, o registro NPM recebe bilhões de downloads por semana e, às vezes, pacotes populares como o Express recebem milhões de downloads por semana. Estas estatísticas indicam que esta versão do pacote será executada em milhões de aplicativos. Portanto, uma única falha neste pacote afetará todos os aplicativos que dependem dele.
Seguindo a necessidade de código reutilizável que possa ser facilmente instalado e usado em aplicações, a necessidade de pacotes mais versáteis aumentou significativamente. O registro NPM está na vanguarda dessa jornada, à medida que os colaboradores se aglomeram para contribuir com os pacotes existentes e até mesmo enviar novos pacotes que são gratuitos para qualquer pessoa usar.
Com esse aumento de novos pacotes, há também um aumento no número de vulnerabilidades que surgem. A razão mais significativa continua sendo o ganho monetário para os invasores. Os invasores procuram ativamente vulnerabilidades nos pacotes mais populares, pois o tamanho de seu uso pode causar devastação entre todos os usuários.