🔒 이 워크플로를 사용하여 JavaScript 프로젝트를 더 안전하게 만드세요

보안 문제

JavaScript 프로젝트의 보안에 대해 생각해 본 적이 있습니까? 아니? 글쎄, 매일 npm에 새로운 수천 개의 패키지가 게시되므로 취약점이 자체 코드뿐만 아니라 직접 종속성(node_modules)에서도 발생할 수 있기 때문에 해야 합니다.

Few months ago, coa npm library was used to steal users' personal data by injecting malicious code.
As a reminder coa was:

• Downloaded approximately 9 million times per week
• Used by about 5 million GitHub projects

그리고 그것은 많은 다른 이야기들 중 하나일 뿐입니다...
npm를 사용하여 종속성을 다운로드하는 경우 이미 다음 메시지가 표시되었을 수 있습니다.



각 npm install , npm 이후에 업데이트된 종속성에 대해 감사 스캔을 실행합니다. 여기에는 하나 이상의 종속성에서 비롯된 79개의 취약점이 있습니다. 각각은 잠재적인 위협을 나타내며 수정되어야 합니다.

이러한 취약점은 어디에서 발생합니까? 기본적으로 npm는 매일 업데이트되는 취약점 데이터베이스를 유지 관리합니다. 다른 많은 데이터베이스가 존재합니다. 다음은 JavaScript 생태계에서 가장 널리 사용되는 오픈 소스 데이터베이스에 대한 전체 목록입니다.

Node.js Security Working Group

Snyk

GitHub

이러한 리소스는 훌륭하지만 생산성에 중점을 둔 게으른 개발자이며 이를 자동화하기를 원하므로 매일 오전 8시에 새로운 기능을 처리하기 전에 모든 데이터베이스를 수동으로 확인할 필요가 없습니다.

보안 솔루션

먼저 보안 문제에 대한 만병통치약은 없다는 사실을 경고하고 싶습니다.

If security were all that mattered, computers would never be turned on, let alone hooked into a network with literally millions of potential intruders. Dan Farmer, pioneer in the development of vulnerability scanners for Unix operating systems and computer networks.

그럼에도 불구하고 프로젝트와 쉽게 통합할 수 있는 도구를 사용하여 취약점의 양을 크게 줄일 수 있습니다.
그러나 대부분의 경우 이러한 도구는 오픈 소스가 아니므로 무료로 사용할 수 없습니다.

NodeSecure 지속적 통합

NodeSecure is an open source organization that aims to create free JavaScript security tools. Our biggest area of expertise is in npm package and code analysis.

더 많은 정보를 보려면 GitHub 조직의 설립자Thomas @fraxken가 작성한 이 문서를 읽으십시오.

@nodesecure/ci는 무엇입니까?

@nodesecure/ci 정적 코드 분석 및 취약성 분석을 사용하여 종속성 취약성을 식별하고 가장 일반적인 악성 코드 및 패턴을 추적하는 도구 세트를 제공합니다.

프로젝트(사용자 정의 구성 사용 가능)가 모든 보안 검사를 통과하면 프로세스가 오류 코드 없이 종료되고 그렇지 않으면 실패합니다.

다음은 미리보기입니다.



사용하는 방법

- GitHub 작업

GitHub Actions 을 사용하는 경우 공식NodeSecure ci-action 작업을 워크플로에 추가하는 매우 간단한 방법이 있습니다.

워크플로.yaml

steps:
      - uses: actions/[email protected]
      - uses: NodeSecure/[email protected]

이제 아이러니하게도 프로젝트에 새로운 종속성을 추가하지 않고도 소스 코드와 해당 종속성이 자동으로 분석됩니다. 기술 리더가 새로운 종속성을 추가하는 것을 원하지 않는 경우에도 적합합니다(node_modules는 이미 우주보다 무겁습니다).

- Node.js 스크립트

@nodesecure/ci 패키지를 설치하고 입력 스크립트node_modules/.bin/nsci를 사용하여 시작하십시오.

GitHub 작업과 마찬가지로 CLI 인수를 통해 사용자 지정 구성을 제공할 수 있습니다.

먼저 package.json의 바이너리 스크립트를 참조하십시오.

{
   "scripts": {
       "nsci": "nsci"
   }
}

그런 다음 다른 인수를 제공하여 시작합니다(그런데 모두 한 번에 사용할 수 있음).

$ npm run nsci -- --directory=/Users/user1/myproject
$ npm run nsci -- --strategy=npm
$ npm run nsci -- --vulnerability=all
$ npm run nsci -- --warnings=error
$ npm run nsci -- --reporters=console

- 모듈 API

@nodesecure/ci는 파이프라인 러너를 API로 노출하여 다른 결합된 워크플로에서 사용할 수 있도록 합니다.

import { runPipeline } from "@nodesecure/ci";

const optionsExample = {
    directory: process.cwd(),
    strategy: "node",
    vulnerabilities: "all",
    warnings: "error",
    reporters: ["console"]
}

await runPipeline(optionsExample);
// => the process can either exit with error code (1) 
// or no error code (0), depending on the pipeline status.

그게 다야, 이제 더 이상 연습하지 않을 핑계가 없다DevSecOps =)

@nodesecure/ci에 대한 모든 피드백을 환영합니다. 라이브러리는 이제 막 시작되었습니다.

GitHub @antoine-coulon에서 저에게 연락 주시기 바랍니다.

읽어 주셔서 감사합니다.