Cli: [سؤال] - تجاهل البرامج النصية للأمان فقط؟

تم إنشاؤها على ٢٩ نوفمبر ٢٠١٩  ·  4تعليقات  ·  مصدر: npm/cli

توصي العديد من الأماكن بإعداد تجاهل البرامج النصية للتكوين العام لأغراض الأمان.
هذا لمنع حزم الطرف الثالث من تنفيذ تعليمات برمجية عشوائية.

تكمن المشكلة في أن هذا الإعداد لم ينتج عنه تشغيل أي نصوص برمجية بما في ذلك تشغيل npm ...
لا أرى أي تحذيرات عند تنفيذ تشغيل npm ... مع تمكين تجاهل البرامج النصية.

هل هناك أي طريقة لتجاهل البرامج النصية لمجرد المخاوف الأمنية؟

Question
مصدر
picture goldingdamien

ال 4 كومينتر

كيف ستفرق npm بين البرامج النصية الآمنة وغير الآمنة؟

إذا كان بإمكانه فعل ذلك ، فلماذا يكون الإعداد مطلوبًا لتجاهل الإعدادات غير الآمنة؟

ljharb picture ljharb في ٢٩ نوفمبر ٢٠١٩

لن يفرق بين البرامج النصية الآمنة وغير الآمنة.
سيسمح ببساطة بالنصوص عند استخدام أمر npm في الوحدة النمطية العليا.
نظرًا لأن المالك ليس طرفًا ثالثًا ، فيمكن افتراض أنه موثوق به.

goldingdamien picture goldingdamien في ٢٩ نوفمبر ٢٠١٩
👍1

مسكتك ، هذا منطقي. لم أقم بتعيين ذلك كإعداد تكوين عالمي ولكن كسر npm run سيكون محبطًا للغاية.

ljharb picture ljharb في ٢٩ نوفمبر ٢٠١٩

لقد قمت بتعيين نصوص التجاهل على true ، وشعرت بخيبة أمل لاكتشاف أن npm تبدأ في مشروعي قد توقفت عن العمل تمامًا بدون أي ناتج على الإطلاق.

أرغب في تأمين برامج التجاهل ، تحديدًا لتعطيل البرامج النصية بعد التثبيت ، ولكن سأتمكن من تنفيذ البرامج النصية الخاصة بي ونصوص الطرف الثالث ، بشكل صريح فقط مع تشغيل npm start أو npm. إن الاضطرار إلى إضافة - تجاهل البرامج النصية في كل مرة أرغب في إضافة حزمة هو هش للغاية لأن كل ما يتطلبه الأمر هو نسيانها مرة واحدة فقط ويمكن أن تتعرض للخطر بصمت من خلال تبعية مخفية للغاية لطرف ثالث.

بشكل عام ، أعتقد بشدة أن السلوك الافتراضي لـ npm cli خطير ويجب تغييره بطريقة أو بأخرى. على سبيل المثال ، قد تطالبني npm قبل تنفيذ أي نص برمجي ، ما لم يُطلب صراحةً أو مدرجًا في القائمة البيضاء.

صاحب العمل ليس على استعداد لإدخال npm في المكدس بالسلوك الحالي ، لذا يبدو أن خياري الوحيد الآن يعتمد على إعداد علامة التجاهل النصية في كل محطة عمل.

أود أيضًا أن أشير إلى أنني أدرك أن إضافة تبعية لها عواقب أمنية أوسع من البرامج النصية ، لكن النصوص في رأيي خطيرة بشكل خاص لعدة أسباب. يعد وجود حزمة ضارة في مشروعك سيئًا كما يبدو ، ولكن على الأقل قد يكون هناك المزيد من الوقت قبل أن تبدأ في تنفيذ حمولتها ، لذلك هناك أمل ضئيل في أن يتم اكتشافها في الوقت المناسب. أيضًا ، من المرجح أن يرى المطورون جلبًا إضافيًا في أدوات التطوير أو شيء ما أثناء تصحيح أخطاء الكود الخاص بهم مقارنة بالحمولة التي تعمل مباشرة على أجهزة الكمبيوتر الخاصة بهم وتغطي آثارها. من المحتمل أن يؤدي مشروع واحد يحتوي على حزمة ضارة إلى تعريض عنوان IP للشركة بالكامل للخطر ولا يتعلق حتى بالمشروع. قد يكون من الصعب تحديد خرق لمصدر المشكلة أو حتى اكتشاف وجود خرق على الإطلاق.

آسف إذا كنت أؤيد هذه المشكلة بالتحديد مع تداخل الأفكار بجنون العظمة ، لكنني أعتقد أن المشرفين على npm والمجتمع يجب أن يجروا محادثة جادة حول هذا الموضوع. من المحتمل أن تبدأ في التفكير في كيفية تناسب JavaScript و npm مع أشياء مثل Bytecode Alliance .

cician picture cician في ٣٠ نوفمبر ٢٠١٩
👍1
هل كانت هذه الصفحة مفيدة؟
0 / 5 - 0 التقييمات

القضايا ذات الصلة

theADAMJR picture theADAMJR  ·  3تعليقات
dr-js picture dr-js  ·  3تعليقات
chrisspen picture chrisspen  ·  3تعليقات
millerick picture millerick  ·  3تعليقات
Cohen-Carlisle picture Cohen-Carlisle  ·  4تعليقات