Projekte gegen Schwachstellen in Abhängigkeiten härten

Es ist ja so bequem, einfach Dritt-Pakete in das eigene Projekt zu laden, um sich Arbeit zu ersparen. Da wird das neuste Framework einmal ausprobiert oder diese Lib eingebunden.

Aber habt ihr euch schon einmal Gedanken gemacht, ob diese Abhängigkeiten auch vertrauenswürdig sind? Über SmashingMagazine wurde ich jetzt auf Snyk.io aufmerksam.Snyk steht für So now you know – Jetzt weißt du es also.

hannah
Flickr: hannah von pato garza (CC BY)

Node-Projekte lassen sich so ganz bequem auf Schwachstellen abklopfen. Dazu inspiziert Snyk die deklarierten Abhängigkeiten in der package.json und vergleicht diese mit einer Datenbank auf bekannte Schwachstellen. Python, Ruby und Java können von vergleichbaren Angeboten (victims-db, rubysec bzw. OWASP) profitieren. PHP muss wohl weiterhin unsicher bleiben …

Ich hab dann auch gleich einmal ein paar Design-Unstimmigkeiten gefixt (sollten demnächst auch live gehen). Falls ich einmal ein interessantes Projekt finde, werde ich vermutlich sogar Support für bower.json hinzufügen. Sollte ja eigentlich nicht viel anders sein als die Behandlung von package.json …

Snyk bietet außerdem über den eigenen Wizard an, ein Node-postinstall-Script einzurichten, welches beim Installieren von Abhängigkeiten aufgerufen wird, sowie sich bei npm test zu registrieren, um auch während der Entwicklung immer wieder auf Schwachstellen zu prüfen. Damit werden hoffentlich einige Leaks in Zukunft verhindert.

Also, falls du an einem Node-Projekt arbeitest, ergänze deinen Workflow doch bitte um Snyk 🙂

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s