Así es como NPM planea mejorar la seguridad y confiabilidad en 2019

            
                                                                             
            
            

NPM, por decirlo suavemente, tuvo un año difícil, por decirlo suavemente. Una serie de incidentes de alto perfil causaron dolores de cabeza a los administradores de sistemas, ya que una combinación de terceros que abusaron de la plataforma NPM y las implementaciones incorrectas del equipo de NPM causaron efectos adversos.

En febrero, con el lanzamiento de la versión 5.7.0, ejecutando sudo npm los permisos de los archivos se restablecieron en todo el sistema de archivos rompiendo el NPM y prácticamente cualquier otra cosa que requiera que los permisos de los archivos funcionen. Para las personas acostumbradas a prácticas de versionamiento semántico 5.7.0 implicaría que la versión sería segura de instalar. Sin embargo, esa versión, y 5.7.1 que parchearon el error sudo, son versiones preliminares, a pesar de que no hay ninguna indicación en la cadena de versión o en el anuncio de lanzamiento de que este sea el caso.

En julio, las credenciales NPM de un mantenedor del paquete eslint-scope se comprometieron lo que llevó al lanzamiento de una versión comprometida, que descarga y ejecuta el código desde Pastebin. Ese código, a su vez, raspa los sistemas afectados para el archivo .npmrc, que contiene tokens de acceso para publicar en NPM. Para su crédito, el equipo de NPM invalidó todos los tokens existentes y no publicó la actualización en cuestión de horas.

VER: Investigación: El estado actual y las predicciones para el futuro de blockchain en la empresa (Tech Pro Research)

En noviembre, un pirata informático diseñó socialmente para obtener el control del paquete de eventos (19459005), ofreciéndole hacerse cargo del autor original, que carecía del tiempo y el interés para continuar con el desarrollo. El mantenedor malicioso del paquete, Right9ctrl, insertó un código ofuscado que se activa cuando se usa dentro de Copay, una aplicación de billetera de criptomoneda desarrollada por BitPay. Según nuestro sitio hermano ZDNet, el código malicioso “robará la información de la billetera de los usuarios, incluidas las claves privadas”, con el fin de vaciar sus billeteras.

Si bien dos de los tres incidentes se deben técnicamente a que los desarrolladores publicaron en NPM, no al equipo de NPM en sí, tienen la responsabilidad de garantizar la seguridad de la plataforma. Dentro de ese ecosistema, los árboles de dependencia tienen una tendencia a volverse masivos a medida que los programadores importan paquetes para circunstancias triviales- como el relleno dejado liderando a David Gilbertson para anotar en este ensayo de enero sobre “vivo” en una época en la que la gente instala paquetes de npm como si estuvieran explotando analgésicos “. Sin relitigar los méritos del incidente del panel izquierdo, se necesitan cambios para que NPM sea más seguro y confiable para su uso en implementaciones empresariales.

En una entrevista con TechRepublic, El director de seguridad de NPM, Adam Baldwin indicó que NPM, Inc. está trabajando en soluciones para mejorar la seguridad. “Los usuarios de Javascript en la empresa comparten la responsabilidad con NPM. Tenemos un equipo de seguridad dedicado y estamos desarrollando productos en 2019 para concentrarnos en estos esfuerzos”, dijo Baldwin. El producto al que se alude es el uso de herramientas en NPM, “comenzando con Enterprise, para ayudar a comprender qué se está ejecutando en los sistemas”. Estos cambios están programados tentativamente para ser revelados en la primera mitad de 2019.

Estos planes incluyen la identificación de vulnerabilidades conocidas y la generación avanzada de informes y visualización de árboles de dependencia, para obtener una mejor comprensión de lo que se está utilizando en la implementación . En un correo electrónico anterior con TechRepublic, Jonathan E Cowperthwait de NPM notó que el equipo podría mejorar la seguridad al “sacar a la luz información sobre transferencias de mantenedor” y “impulsar el uso de la autenticación de dos factores”.

    
        

Baldwin defendió el historial actual de NPM, observando que el problema de la secuencia de eventos -cuyo núcleo es un código confuso- es un “juego del gato y el ratón” que es “difícil cuando tienes 100,000 ratones”. El NPM está trabajando en herramientas para mejorar la detección del uso de código ofuscado, aunque prohibir el uso de la información directa no es práctico, ya que existen casos de uso “legítimos” para la ofuscación. Sin embargo, en el caso de código ofuscado malicioso en la secuencia de eventos, “No lo detectamos, pero nadie más lo hizo”, dijo Baldwin.

Baldwin descartó los problemas con los permisos, y le dijo a TechRepublic que “usar sudo con NPM es un antipatrón, y los usuarios no deberían hacerlo”, y agregó que hacerlo es “la salida perezosa de un problema”. El problema de febrero, que provocó que los permisos de los archivos se restablecieran en todo el sistema de archivos, no se produce bajo el usuario root. La documentación de actualización de de NPM señala que los usuarios en Linux “pueden necesitar un prefijo de estos [comandos con sudo”, lo que está en desacuerdo con las afirmaciones de Baldwin. Cowperthwait afirma que NPM lo desalienta, y p se une a la documentación sobre cómo reinstalar para no necesitar sudo .

Consultado sobre la cordura de usar un lenguaje del lado del cliente en el servidor en implementaciones comerciales, Baldwin dijo que los programadores adoptan Node.js y NPM debido a la falta de “cambio de contexto, a los desarrolladores les encanta poder usar el en el mismo lado del cliente que en el servidor “, agregando que” estamos tratando de hacer que este sea el mejor administrador de paquetes y ecosistema para las empresas que podamos, y definitivamente va a ver un cambio en 2019 “.

Véase también

 7.jpg

                                            Imagen: iStockphoto / comzeal
                                        


Source link

About rasco

Be Happy the future is friendly.

Leave a Reply

Allrights Reserved 2007-2018 - Beone Magazine - powered by rasco