Вы, наверное, знаете ^Lift Security по его работе под названием Проект Node Security Project, который проверяет самые популярные из полумиллиона пакетов в реестре npm на наличие уязвимостей в системе безопасности. Однако вы можете не знать, что ^Lift также просматривает сам реестр npm.
С момента основания npm мы работали с Адамом Болдуином и его командой над периодическими проверками безопасности кода, который мы используем для работы крупнейшего в мире реестра программного обеспечения. Их методы включают тесты на проникновение и аудит кода содержимого всех частных пакетов и всех операций npm.
Мы работаем с инженерами ^Lift, чтобы получить столь необходимое второе мнение о нашей работе. Они четко объясняют компромиссы и приоритеты в своих обзорах кода и дают нам действенные предложения по снижению рисков.
Ранее на этой неделе ^Lift завершил еще один тест на проникновение в реестр, и в настоящее время я просматриваю их отчет о том, что они обнаружили. Как всегда, они показали нам, что нам есть что сделать, чтобы ужесточить наши операции, включая использование HSTS и изменение способов работы некоторых наших API.
За три с половиной года работы npm, Inc. ни разу не было инцидента, когда незнакомец воспользовался уязвимостью для кражи учетных данных пользователя, но наша работа по повышению безопасности так и не была завершена. Каждое изменение в системе может иметь последствия для безопасности, и мы постоянно работаем над многими вещами! Каждый пользователь и пакет npm в реестре npm безопаснее благодаря отзывам ^Lift.
«Мы стремимся создавать хорошие процессы, чтобы существовала прочная основа для новых функций, помогающих пользователям защищать свои учетные записи и программное обеспечение, которое они публикуют, таких как двухфакторная аутентификация или подписывание пакетов», — сказал Адам.
«Безопасность всегда противоречит другим бизнес-целям. С точки зрения ^Lift, npm отлично справляется с расстановкой приоритетов безопасности, когда это необходимо, а также серьезно относится к ней. Нам не нужно идти на крайние меры, чтобы убедить их, когда что-то является проблемой. npm нужно время, чтобы понять и сделать это частью своих общих бизнес-планов».
npm всегда будет поддерживать прозрачность — мы будем рады подробно описать наши процессы и политики безопасности, включая то, как вы можете помочь. Посмотрите, поделитесь своим отзывом и понаблюдайте за этим пространством. Мы будем делиться процессами и функциями безопасности, которые мы добавляем, чтобы держать сообщество npm в курсе событий.
