Un pirate bloque la suppression des packages du registre npm avec memepackage – Ordinateur – Actualités

C’est difficile si vous utilisez tout. La première règle est donc d’être sélectif dans ce que vous utilisez. Lorsque vous utilisez l’open source, vous devez également vous appuyer sur les atouts de l’open source.

Les exemples liés à votre question sont :
– Vérifier qu’un package est activement maintenu.
– Vérifier le nombre de mainteneurs (s’il n’y en a que 1, et qu’il s’arrête…)
– Vérifiez la popularité du package
– vérifiez tous les noms fiables qui lui sont associés

Si vous utilisez un package activement maintenu et utilisé par de nombreuses personnes, il y a plus de chances que ce package reste sûr. (Basé sur des statistiques, sauf exceptions).

Vous pouvez également appliquer certaines bonnes pratiques telles que :
– assurez-vous que vous êtes toujours sur les versions récentes du code tiers
– créez un scanner de sécurité dans votre CI qui compare une bibliothèque de packages vulnérables avec les packages et les versions que vous utilisez
– un scanner de licences qui vérifie que seules les licences que vous autorisez peuvent être utilisées

Et probablement d’autres choses que je ne mentionnerai pas.

En bref : on ne peut pas tout faire soi-même, c’est tout l’intérêt de l’open source. Cela s’applique également au contrôle de l’open source…

[Reactie gewijzigd door Jaatoo op 5 januari 2024 13:10]