La palabra segura del Registro NPM es Socket

Un lector anónimo comparte un informe: Socket ha encontrado una manera de proteger a los desarrolladores de npm, el administrador de paquetes de JavaScript insuficientemente seguro de GitHub, envolviéndolo en una manta de seguridad. El registro npm, operado por NPM hasta que GitHub de Microsoft adquirió el negocio de la seguridad en 2020, aloja paquetes de software para el ecosistema de JavaScript. Es, según su propia cuenta, “el registro de software más grande del mundo”. En los últimos años, los malintencionados se han centrado cada vez más en comprometer los registros de paquetes como npm en lo que se conoce como un ataque a la cadena de suministro. Subvertir una biblioteca de software popular tiene el potencial de permitir una distribución viral generalizada. Aquellos que ejecutan el registro npm han implementado varias defensas a lo largo de los años, como npm audit, un comando de análisis de vulnerabilidades en la interfaz de línea de comandos (CLI) de npm. Pero la implementación de la herramienta deja mucho que desear y los desarrolladores a menudo ignoran los mensajes de advertencia de auditoría, especialmente si la resolución automática no funciona.

Socket creó su propio sistema de análisis de vulnerabilidades y el año pasado lo puso a disposición de forma gratuita (con niveles de pago para equipos y organizaciones) para proyectos de código abierto. Su escáner se ejecuta como una aplicación de GitHub en repositorios de código cuando se realizan cambios. Detecta más problemas que la auditoría npm, ya que cubre no solo el riesgo de la cadena de suministro, sino también problemas de calidad, mantenimiento, vulnerabilidad y licencia. Pero el escáner de Socket ahora también está disponible como una CLI que los desarrolladores pueden instalar en sus máquinas. El jueves, Socket actualizó su CLI con un comando npm seguro que defiende a los desarrolladores cada vez que invocan npm install o npm uninstall, que perversamente pueden instalar paquetes en medio de la eliminación de otros. “npm crea lo que se llama el ‘árbol ideal’ para un paquete.json dado”, explicó Feross Aboukhadijeh, a The Register. “Entonces, al eliminar un paquete, en realidad podría cambiar cuál es el árbol ideal. Eliminar un paquete puede eliminar una restricción que mantiene un paquete en una versión anterior, por lo que npm puede actualizar esos paquetes a una versión más ideal/reciente”.