[GUIDA] Installare pacchetti in modo sicuro con Npm o Yarn grazie a Npq
Supponiamo che dobbiate installare alcuni pacchetti disponibili nel repository di NPM ma siete un po’ scettici circa l’autenticità o la sicurezza dei pacchetti stessi. Chiaramente nessuno si può prendere la briga di andare a controllare e analizzare a fondo tutto il codice sorgente. Per stare un po’ più tranquilli c’è un software chiamato Npq che può essere usato per installare in modo (più) sicuro i programmi usando i package managers Npm o Yarn su Linux.
Npq controlla i pacchetti che si desidera installare prima che vengano installati. Se sono presenti vulnerabilità note, un pop-up informa l’utente della cosa, dando la possibilità di evitare l’installazione.
Npq esegue i seguenti passaggi per verificare se il pacchetto è sicuro o meno:
- Controlla il database Snyk Vulnerability DB per verificare se esistono vulnerabilità per il pacchetto in questione. Se sono presenti problemi viene mostrato un avviso;
- Verifica la data di caricamento del pacchetto. Se è stato caricato da meno di 22 giorni verrà mostrato un avviso;
- Controlla il numero dei download, se sono meno di 20 nell’ultimo mese verrà mostrato un avviso;
- Verifica la presenza di un file README. Nel caso non ci sia viene mostrato un avviso;
- Controlla se ci sono dei pre o post script e, nel caso, mostra un warning;
Se non vengono mostrati avvisi il pacchetto è ritenuto sicuro da Npq. Chiaramente la garanzia assoluta non c’è, ma una verifica con questo tool è sicuramente meglio che niente. Dopo aver eseguito tutti i test, Npq consegnerà il processo di installazione del pacchetto a Npm o a Yarn.
Va sottolineato che Npq non impedisce di installare i pacchetti. Spetta all’utente decidere se ignorare l’installazione o continuare a proprio rischio.
Installare Npq
Per installare Npq è necessario avere Nodejs a bordo. Dopodichè è sufficiente dare il seguente comando:
-
$ npm install -g npq
Per controllare e installare un pacchetto è sufficiente dare il seguente comando:
Verrà mostrato un output di questo tipo:
Se si intende continuare con l’installazione del pacchetto è sufficiente dare y. Come si evince dall’immagine per la verifica con il database Synk è necessario installare Synk CLI. Per farlo vi rimando all’apposita guida pubblicata sul sito ufficiale.
Cambiare il package manager di default
Come detto anche in precedenza Npq una volta completato il suo lavoro passa le cose nelle mani del package manager. Se si vuole impostare Yarn come package manager di default bisogna specificarlo così:
- NPQ_PKG_MGR=yarn
Seguiteci sul nostro canale Telegram e sulla nostra pagina Facebook. Inoltre è possibile seguire il nostro canale ufficiale Telegram dedicato ad Offerte e Promo! Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.
Fonte: https://www.lffl.org/2019/12/guida-installare-pacchetti-in-modo-sicuro-con-npm-yarn-npq.html
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.