🔒 이 워크플로를 사용하여 JavaScript 프로젝트를 더 안전하게 만드세요

보안 문제

JavaScript 프로젝트의 보안에 대해 생각해 본 적이 있습니까? 아니? 매일 npm에 게시되는 수천 개의 새로운 패키지로 인해 취약점은 자체 코드뿐만 아니라 직접 종속성(node_modules)에서도 발생할 수 있습니다.

Few months ago, coa npm library was used to steal users' personal data by injecting malicious code.
As a reminder coa was:

• Downloaded approximately 9 million times per week
• Used by about 5 million GitHub projects

그리고 그것은 많은 다른 이야기 중 하나일 뿐입니다...
npm를 사용하여 종속성을 다운로드하는 경우 이미 다음 메시지가 표시되었을 수 있습니다.



각 npm install , npm 후에 업데이트된 종속성에 대해 감사 스캔을 실행합니다. 여기에는 하나 이상의 종속성에서 비롯된 79개의 취약점이 있습니다. 각각은 잠재적인 위협을 나타내므로 수정해야 합니다.

이러한 취약점은 어디에서 발생합니까? 기본적으로 npm는 매일 업데이트되는 취약성 데이터베이스를 유지 관리합니다. 다른 많은 데이터베이스가 존재하며 다음은 JavaScript 에코시스템을 위한 가장 인기 있는 오픈 소스 데이터베이스에 대한 전체 목록입니다.

Node.js Security Working Group

Snyk

GitHub

이러한 리소스는 훌륭하지만 우리는 생산성에 집중하는 게으른 개발자이며 자동화를 원하므로 새로운 기능을 처리하기 전에 매일 오전 8시에 모든 데이터베이스를 수동으로 확인할 필요가 없습니다.

보안 솔루션

먼저 보안 문제에 대한 묘책이 없다는 사실에 대해 경고하고 싶습니다.

If security were all that mattered, computers would never be turned on, let alone hooked into a network with literally millions of potential intruders. Dan Farmer, pioneer in the development of vulnerability scanners for Unix operating systems and computer networks.

그럼에도 불구하고 프로젝트와 쉽게 통합할 수 있는 도구를 사용하면 취약성의 양을 크게 줄일 수 있습니다.
그러나 대부분의 경우 이러한 도구는 오픈 소스가 아니므로 무료로 사용할 수 없습니다.

NodeSecure 지속적 통합

NodeSecure is an open source organization that aims to create free JavaScript security tools. Our biggest area of expertise is in npm package and code analysis.

자세한 내용을 보려면 GitHub 조직의 설립자인 Thomas @fraxken이 작성한 다음을 읽어보십시오.

@nodesecure/ci가 무엇인가요?

@nodesecure/ci은 종속성 취약성을 식별하고 정적 코드 분석 및 취약성 분석을 사용하여 가장 일반적인 악성 코드 및 패턴을 추적하는 일련의 도구를 제공합니다.

프로젝트(사용자 지정 구성 사용 가능)가 모든 보안 검사를 통과하면 오류 코드 없이 프로세스가 종료되고 그렇지 않으면 실패합니다.

미리보기는 다음과 같습니다.



사용하는 방법

- GitHub 작업

GitHub Actions 을 사용하는 경우 공식 NodeSecure ci-action 작업을 작업 흐름에 매우 간단하게 추가할 수 있습니다.

워크플로우.yaml

steps:
      - uses: actions/checkout@v2
      - uses: NodeSecure/ci-action@v1

이제 아이러니하게도 프로젝트에 새 종속성을 추가하지 않고도 소스 코드와 해당 종속성이 자동으로 분석됩니다. 또한 기술 책임자가 새로운 종속성을 추가하는 것을 원하지 않는 경우(node_modules는 이미 우주보다 무겁습니다)에 적합합니다.

- Node.js 스크립트

@nodesecure/ci 패키지를 설치하고 시작 스크립트node_modules/.bin/nsci를 사용하여 시작합니다.

GitHub Action뿐만 아니라 CLI 인수를 통해 사용자 지정 구성을 제공할 수 있습니다.

먼저 package.json에서 바이너리 스크립트를 참조하십시오.

{
   "scripts": {
       "nsci": "nsci"
   }
}

그런 다음 다른 인수를 제공하여 시작합니다(그런데 모두 한 번에 사용할 수 있음).

$ npm run nsci -- --directory=/Users/user1/myproject
$ npm run nsci -- --strategy=npm
$ npm run nsci -- --vulnerability=all
$ npm run nsci -- --warnings=error
$ npm run nsci -- --reporters=console

- 모듈 API

@nodesecure/ci는 파이프라인 러너를 API로 노출하여 다른 결합된 워크플로에서 사용할 수 있도록 합니다.

import { runPipeline } from "@nodesecure/ci";

const optionsExample = {
    directory: process.cwd(),
    strategy: "node",
    vulnerabilities: "all",
    warnings: "error",
    reporters: ["console"]
}

await runPipeline(optionsExample);
// => the process can either exit with error code (1) 
// or no error code (0), depending on the pipeline status.

그게 다야, 이제 더 이상 연습하지 않을 변명의 여지가 없습니다 DevSecOps =)

@nodesecure/ci에 대한 모든 피드백을 환영합니다. 라이브러리는 이제 막 시작되었습니다.

언제든지 GitHub @antoine-coulon으로 연락주세요.

읽어 주셔서 감사합니다.