大廠技術(shù)??高級前端??Node進(jìn)階

點擊上方?程序員成長指北，關(guān)注公眾號

回復(fù)1，加入高級Node交流群

最近一年，npm 頻發(fā)模塊安全問題，讓我們防不勝防。作為前端或者后端開發(fā)者，考慮 npm 安全性是很重要的。開源代碼的安全審計使我們在應(yīng)用安全中很重要的一部分，而 npm 包安全應(yīng)該是首要關(guān)注的問題。正如我們過去一年看到的，npm 甚至 npm 命令行工具都是易受攻擊的。

Synk 作為 Node.js 安全服務(wù)商，針對開源維護(hù)人員和開發(fā)人員的 npm 安全性和工作效率的平衡，整理了一份備忘錄。讓我們從 10 個 npm 安全最佳實踐列表開始。

1. 不要把秘鑰發(fā)到 npm 上

2. 使用 lockfile

3. 通過?--ignore-scripts?來降低受攻擊的幾率

4. 評估 npm 項目的健康度

5. 檢查依賴的開源項目的缺陷

6. 使用本地 npm 代理

7. 負(fù)責(zé)任地披露安全漏洞

8. 開啟兩步驗證

9. 使用 npm 作者 token

10. 理解模塊命名約定和 Typosquatting 攻擊

每一條的具體內(nèi)容，可以參見原文。另外，可以在原文下載備忘錄，打出來貼在工位上，實時提醒自己要注意安全：）

Node 社群


我組建了一個氛圍特別好的 Node.js 社群，里面有很多 Node.js小伙伴，如果你對Node.js學(xué)習(xí)感興趣的話（后續(xù)有計劃也可以），我們可以一起進(jìn)行Node.js相關(guān)的交流、學(xué)習(xí)、共建。下方加 考拉 好友回復(fù)「Node」即可。

???“分享、點贊、在看” 支持一波??