Работа с Node.js стала безопаснее: NodeSource начала сертифицировать модули npm
Новости
959 открытий963 показов
Сервис Certified Modules, предоставляемый организацией NodeSource и предназначенный для обеспечения безопасности модулей npm, вчера стал общедоступным. Ранее он был доступен лишь в рамках закрытого бета-тестирования.
Зачем нужен NodeSource?
NodeSource был разработан для решения проблем, связанных с безопасностью, лицензированием и зависимостью между модулями JavaScript. Зависимости стали главной проблемой в прошлом году, когда удаление одного пакета из публичного реестра npm привело к выходу из строя миллионов других проектов, использовавших его.
Как работает этот сервис?
Компания следит за всеми пакетами npm в реестре, включая различные их версии. Она дает пользователям информацию о том, какие можно использовать. Сами же пользователи могут добавлять в «белый список» модули, не соответствующие критериям сертификации.
NodeSource предлагает алгоритм оценки сертифицируемого пакета, в ходе которого проверяется его лицензия, общая безопасность и качество кода. Например, превышенный размер пакета уменьшает оценку. Если фиксируется факт наличия уязвимости безопасности или наличие неразрешающей лицензии, это может помешать сертификации.
И сколько стоит услуга?
Certified Modules — платная услуга. Цена составляет от 1000 долларов в месяц для группы до 50 пользователей. Чтобы получить доступ к службе, требуется изменить строку в конфигурации npm пользователя. Каждый клиент получает собственный реестр модулей, который будет автоматически проверяться в дальнейшем.
959 открытий963 показов