Сколько можно тащить в прод весь npm, supply-chain уже достал

[KafkaAndy]

Опять новость про закладку в популярном npm пакете, на этой неделе нашли вредонос в обновлении которое тянется как транзитивная зависимость в тысячах проектов. И опять все узнали постфактум. Сколько можно. У среднего фронта 1200 зависимостей в node_modules, из них реально нужны 30. Мы сами роем себе яму. Кто как защищается кроме молитвы и npm audit который вечно молчит про реальные дыры?

[icu2]

единственный рабочий вариант это лок версий и приватный реестр прокси. ставите Nexus или Verdaccio, все пакеты идут через него, новые версии не подтягиваются автоматически а проходят карантин. да, гемор, да, обновления медленнее. зато не прилетает свежий вредонос в ту же секунду как его опубликовали

[go21]

сам по себе приватный реестр это полумера. он спасает если зараженная версия подтянется автоматом, но ты же руками обновляешь зависимости. обновил, а она уже с закладкой, и реестру пофиг. нужен анализ что пакет реально делает, это уже про SCA, прокси тут не поможет

[cppguru]

@go21, никто из вас аудит 1200 пакетов руками не делает и не будет. давайте честно. читаете чейнджлог топ-10 прямых зависимостей и надеетесь. остальное на удачу

[b1llyn0m]

@KafkaAndy, мы прикрутили в CI гейт на возраст пакета. правило простое, если версия вышла менее 7 дней назад, сборка падает и зовет на ревью. большинство закладок выпиливают из реестра за первые сутки-двое, так что окно ожидания реально снижает риск. неудобно для срочных фиксов но мы пережили

[tvictor10]

первое, что надо сделать всем и вчера: вырубить постинсталл скрипты. ignore-scripts в npmrc, и большинство реальных атак умирает на месте, потому что малварь почти всегда стреляет именно в install hook. pnpm с 10й версии скрипты зависимостей по дефолту вообще не гоняет, разрешаешь белым списком. ломаются полтора пакета типа esbuild, им даешь точечное разрешение и живешь дальше. почему это до сих пор не дефолт у npm, вопрос риторический

[sleepypanic]

@cppguru, так в этом и поинт, руками и не надо. socket и подобные в CI смотрят на поведение пакета: была утилита для паддинга строк, а в новой версии вдруг сеть и eval, вот тебе флаг. ловит не все, но это сильно лучше чем чейнджлог топ-10 и молитва. бесплатного тира на средний проект хватает

[pnm917]

большинство закладок выпиливают из реестра за первые сутки-двое

это правда для шумного тайпсквотинга. а когда угоняют аккаунт мейнтейнера и кладут закладку в минорный релиз нормального пакета, она живет неделями, пока кто-то случайно не заметит. так что слой полезный, но ровно один из. и кстати ваш самописный гейт уже не нужен, в pnpm завезли minimumReleaseAge в конфиге, делает то же самое из коробки