Работа с Node.js стала безопаснее: NodeSource начала сертифицировать модули npm

Сервис Certified Modules, предоставляемый организацией NodeSource и предназначенный для обеспечения безопасности модулей npm, вчера стал общедоступным. Ранее он был доступен лишь в рамках закрытого бета-тестирования.

Зачем нужен NodeSource?

NodeSource был разработан для решения проблем, связанных с безопасностью, лицензированием и зависимостью между модулями JavaScript. Зависимости стали главной проблемой в прошлом году, когда удаление одного пакета из публичного реестра npm привело к выходу из строя миллионов других проектов, использовавших его.

Как работает этот сервис?

Компания следит за всеми пакетами npm в реестре, включая различные их версии. Она дает пользователям информацию о том, какие можно использовать. Сами же пользователи могут добавлять в «белый список» модули, не соответствующие критериям сертификации.

NodeSource предлагает алгоритм оценки сертифицируемого пакета, в ходе которого проверяется его лицензия, общая безопасность и качество кода. Например, превышенный размер пакета уменьшает оценку. Если фиксируется факт наличия уязвимости безопасности или наличие неразрешающей лицензии, это может помешать сертификации.

И сколько стоит услуга?

Certified Modules — платная услуга. Цена составляет от 1000 долларов в месяц для группы до 50 пользователей. Чтобы получить доступ к службе, требуется изменить строку в конфигурации npm пользователя. Каждый клиент получает собственный реестр модулей, который будет автоматически проверяться в дальнейшем.