npm发布了企业版扩展包,首次使开发者们直接集成第三方工具成为可能。
npm企业版的总经理Ben Coe告诉InfoQ:
思考:一个安全厂商的绿色选择框证实代码是安全的;一个许可证审核工具提醒一个包的依赖基于GPL;一个CI工具监听着依赖的更新并警告什么应该中断……
在npm的博客文章《为npm企业版引入扩展包》中,Coe说npm企业版会公布一个让第三方开发者能够直接在npm企业版产品上编译的API。
为了解释这背后的驱动因素,Coe说扩展包有“能力将你的开发工作流中分离的部分整合进一个独立的用户体验中,并除去了较大型企业没办法使用开源开发的‘许多小型复用部分’方法论的障碍”。
一个典型的Node.js应用使用上百个依赖:这太多了以至于不能很容易地跟踪它们。当大部分依赖都是通过另外的包的间接依赖时,就变得更具挑战性了。
Coe将审查“外来代码的每个部分”的许可证需求比作安全性研究,他说:“试图手工确认每个依赖的许可证(以及依赖的依赖和依赖的依赖的依赖)是不可估量的。”
这个安全性风险与使用开源代码的企业相联系起来,意味着如果一个包有安全漏洞,那应用就可能变得暴露,如果漏洞是恶意的,那应用可能会受到损害。
在博客文章《npm灾难暴露了严重的安全风险》中,Nicolás Bevacqua说:“尽管绝大多数npm用户都是善意的。这就是为什么语义化的版本控制(semver)通常都行得通。通常我们可以信任包的作者,但有时就不一定了。”
Node安全平台是npm的合作伙伴,它以给审核过的模块提供安全信息而著名,它在一篇博客文章中公布了他们针对npm企业版的安全扩展包。
NSP的建立者Adam Baldwin说:
多年来,我们的nsp工具已成为Node依赖中的关键漏洞情报源。
今天开始,nsp的安全漏洞通知将在npm企业版内部方便地发布。
nsp扩展包在模块详细信息页的侧边栏中给开发者们提供了安全信息,包括模块存在已知漏洞的详细信息,并提供了更详细安全报告的链接。
Baldwin承诺,为企业级客户即将上市的还有已验证模块的公开信息,这是由Node安全团队所审核的。
根据npm所说,每个人都行动起来,能从为企业带来开源代码、工作流和工具的活动中获利。
“当公司用与社区构建开源项目相同的方式开发专利代码时,开源社区的方法和工具就会变成构建软件的默认方式。”Coe说道。
====================================分割线================================
本文转自d1net(转载)
