GNU/Linux >> Znalost Linux >  >> Linux

Jak bezpečně nainstalovat balíčky pomocí Npm nebo příze na Linuxu

Představte si tento scénář. Chcete nainstalovat aplikaci do svého Linuxového boxu. Balíček je v rané fázi vývoje a je dostupný pouze v úložišti NPM. Jste trochu paranoidní a skeptický ohledně pravosti balíčku. Co bys dělal? Pokud jste programátor, můžete zkontrolovat kód balíčku a zjistit, zda v něm nejsou nějaké problémy. Pokud se v kódování nevyznáte, nezbývá vám nic jiného, ​​než balíčku slepě věřit a přesto si jej nainstalovat. K odstranění tohoto problému existuje program s názvem "npq" které lze použít k bezpečné instalaci balíčků pomocí Npm nebo Příze správci balíčků v Linuxu.

npq před instalací provede audit balíčků, které chcete nainstalovat. Pokud existují nějaké známé chyby zabezpečení, zobrazí se varování, takže můžete instalaci bezpečně přeskočit.

Npq provede následující kroky, aby ověřil, zda je balíček bezpečný nebo ne.

  1. Zkontroluje Snyk Vulnerability DB abyste se ujistili, že balíček obsahuje nějaké chyby zabezpečení. Pokud existují nějaké známé chyby zabezpečení, zobrazí se varování.
  2. Zkontrolujte stáří balíčku. Pokud je stáří balíčku méně než 22 dní, zobrazí se varovná zpráva.
  3. Zkontrolujte počet stažení balíčku. Pokud je počet stažení balíčku za poslední měsíc nižší než 20, zobrazí se varování.
  4. Zkontrolujte, zda pro balíček existuje soubor README. Pokud soubor README neexistuje, zobrazí se varování.
  5. Zkontrolujte, zda balíček obsahuje nějaké předběžné nebo následné skripty. Tyto skripty mohou být škodlivé, takže zobrazí varovnou zprávu.

Pokud nevidíte žádná varování, je balíček pravděpodobně bezpečný. Vezměte prosím na vědomí, že jsem řekl – balíček je PRAVDĚPODOBNĚ bezpečný . Neexistuje však žádná zaručená bezpečnost . Stále může existovat škodlivý nebo zranitelný balíček, který nemá žádné zveřejnění v databázi Synk a prošel kontrolami npq.

Po provedení všech testů npq předá instalační proces aktuálního balíčku správci balíčků Npm nebo Yarn. Npm je výchozí.

Mějte prosím na paměti, že Npq vám nezabrání v instalaci balíčků. Provede pouze audit balíčku na možné bezpečnostní problémy a zobrazí varování, pokud existují nějaké známé chyby zabezpečení. Je na vás, abyste se rozhodli, zda budete instalaci ignorovat, nebo budete pokračovat na vlastní riziko.

Instalovat Npq

Ujistěte se, že máte na svém Linuxovém boxu nainstalovaný Nodejs. Pokud ne, přejděte na následující odkaz.

  • Jak nainstalovat NodeJS na Linux

Po instalaci Nodejs spusťte následující příkaz k instalaci Npq:

$ npm install -g npq

Výše uvedený příkaz umístí dvě binární soubory, konkrétně npq a npq-hero ve vaší cestě.

Bezpečná instalace balíčků pomocí Npm nebo Yarn v systému Linux

Chcete-li zkontrolovat a nainstalovat balíček, například tldr , jednoduše spusťte:

$ npq install tldr

Ukázkový výstup: 

✔ Checking package maturity
✖ Identifying package author...
✔ Checking package download popularity
✔ Checking availability of a README
✔ Identifying package repository...
✔ Checking package for pre/post install scripts
✖ Checking for known vulnerabilities
Detected possible issues with the following packages:
[tldr]
- the package description has no e-mail associated with author(s). Proceed with care.
[*]
- Unable to query for known vulnerabilities. Install snyk and authenticate or provide a SNYK_TOKEN env variable (https://snyk.io)

? Would you like to continue installing package(s)? (y/N)

Jak vidíte ve výše uvedeném výstupu, existují tři varování:

  1. Npq nemohl identifikovat autora balíčku tldr,
  2. Popis balíčku neobsahuje žádnou e-mailovou adresu,
  3. Ještě jsem nenastavil a neověřil databázi Snyk. Chcete-li nainstalovat Synk CLI a ověřit pomocí databáze Snyk, přejděte na tento odkaz .

Pokud vás varování nezajímají a věříte, že je to bezpečné, zadejte Y pokračovat v instalaci balíčku.

Vytvořit alias

Npq je pouze předběžný nástroj ke kontrole známých zranitelností balíčků npm před jejich skutečnou instalací. Pokud jej často používáte při každodenní práci, jednoduše vytvořte alias jako níže.

$ alias npm='npq-hero'

Od této chvíle můžete jednoduše auditovat balíček npm a nainstalovat jej pomocí příkazu:

$ npm install package_name

Změnit výchozího správce balíčků

Jak jsem již zmínil, Npq předá instalační proces Npm správce balíčků ve výchozím nastavení po jejich auditování. Pokud chcete nastavit Yarn jako výchozího správce balíčků, zadejte proměnnou prostředí:

NPQ_PKG_MGR=yarn

Chcete-li vytvořit alias s přízí jako správcem balíků, postupujte takto:

alias yarn="NPQ_PKG_MGR=yarn npq-hero"

Doufám, že to pomůže.


Linux

  1. Jak nainstalovat a používat Správce balíčků příze v Linuxu

  2. Jak spravovat balíčky NodeJS pomocí Npm

  3. Jak nainstalovat balíčky Npm v Nixos?

  1. Jak nainstalovat Správce balíčků Yarn NPM na Oracle Linux 8

  2. Jak nainstalovat soubor .dsc na linux

  3. Jak nainstalovat npm v alpine linux

  1. Jak nainstalovat Yarn na Ubuntu 20.04?

  2. Debian:Jak nainstalovat nebo odebrat balíčky DEB pomocí dpkg

  3. Jak nainstalovat balíčky pomocí dnf v CentOS/RHEL 8