Рубрики
Uncategorized

Блок NPM -пакет угроз с использованием брандмауэра зависимости

Если вы когда -либо установили пакет NPM для проектов JavaScript, вы, несомненно, видели статус … Tagged с JavaScript, NPM, DevOps, Security.

Если вы когда -либо установили пакет NPM для проектов JavaScript, вы, несомненно, видели сообщения о состоянии со списком известных уязвимостей в результатах терминала.

С помощью NPM, пряжа или PNPM, предоставляющей базовую информацию об уязвимости во время установки пакета, трудно игнорировать, как стали частые уязвимости. Это отличная мера обслуживания и безопасности для миллионов ежедневных пользователей, которые полагаются на эти инструменты для своих проектов.

added 57 packages and audited 3 packages in 107 s
2 critical severity vulnerabilities

Но что, если вы хотите заблокировать угрозы, прежде чем они даже войдут в вашу цепочку поставок? Может быть, вы предпочитаете получать автоматические уведомления с критическими проблемами вместо того, чтобы проверять вручную? Или хотелось бы избежать потенциальных рисков безопасности, которые могут иметь решающее значение для определенных сред?

А что происходит, когда это больше не разработчик, устанавливающий зависимости, а скорее автоматизированная среда? Ключевым компонентом современного инструмента безопасности является убедиться, что угрозы активно заблокированы, и вы уведомляете о проблемах, даже если ни один человек не активно его контролирует.

Ниже я познакомлю вас с тем, как карантин проблемные пакеты с использованием брандмауэра зависимости в Байтзаф .

Всякий раз, когда обнаруживается критическая уязвимость, вы можете принять немедленные действия, чтобы ваши команды, среды и бизнес были защищены — чтобы ваша цепочка поставок программного обеспечения могла оставаться безопасной. Идите вперед, чтобы узнать, как карантин нежелательные пакеты от входа в вашу цепочку поставок!

Карантин короче

Карантин позволяет автоматически блокировать использование определенных пакетов, которые превосходят пороговые уровни безопасности, например, пакеты NPM с серьезными выявленными уязвимостью. Одновременно подчеркивая проблему для ваших команд, чтобы решить, вместо того, чтобы блокировать (и скрывать) их.

Это означает, что вы получите мощный инструмент для управления разрешенными пакетами для всех разработчиков и систем, будучи очень простым в использовании.

Зачем использовать автоматический карантин проблемных пакетов?

Безопасное использование программного обеспечения с открытым исходным кодом является необходимостью для современных организаций, и кибератаки становятся все более и более распространенными. И это больше, чем просто проблема ИТ, с последствиями, которые потенциально могут повлиять на всю организацию.

В то же время каждая команда разработчиков должна сбалансировать производительность с потребностями в безопасности. Таким образом, решения безопасности должны защищать вас, в то же время позволяя вам быть продуктивным.

Современные проблемы безопасности требуют современного инструмента. Эффективный инструмент, который подчеркивает потенциальные проблемы при работе в рамках вашего обычного рабочего процесса. Инструмент, как байтзаф, который непрерывно контролирует ваши пакеты на наличие проблем и помогает вам оставаться в безопасности.

Преимущества автоматического карантина уязвимых пакетов

  1. Предотвратить вредоносные угрозы с брандмауэром для вашей цепочки поставок Анкет Карантинные пакеты в соответствии с вашими порогами безопасности. Автоматически блокируйте использование известных уязвимых пакетов — при этом все еще надежно удерживая уязвимую версию в вашем рабочем пространстве Bytesafe для вас.

  2. Выделите проблемы безопасности для восстановления Анкет Карантин предлагает значительные преимущества для простой блокировки пакетов. Когда пакет надежно хранится в Bytesafe, будет создана проблема, которая уведомляет вас о проблеме. Позволяя вашей команде легко и быстро исправить любую проблему и приступить к созданию потрясающих приложений.

  3. Избегайте перегруженности проблем — настройте свои пороги и правила Анкет Снижение шума до управляемого уровня имеет решающее значение для любой команды. В противном случае уведомления по вопросам безопасности просто будут проигнорированы. С Bytesafe вы можете настроить на каком уровне серьезности, которые вы хотите, чтобы пакеты были помещены в карантин. Вы также можете решить избежать карантина для проблем без доступных решений версий патчей — все это позволяет вам эффективно работать с безопасностью вашей цепочки поставок.

Области в жизненном цикле развития (тест, сборка, развертывание и т. Д.) Все чаще автоматизируются с минимальным взаимодействием человека. Убедитесь, что следуйте и управляйте зависимостями с открытым исходным кодом безопасно с соответствующим уровнем обнаружения и защиты от уязвимостей.

Настраиваемые пороговые значения безопасности в соответствии с потребностями вашего бизнеса

Уязвимость и Лицензия Сканеры позволяют вам определить, когда вы хотите потянуть ручной тормоз, и сразу же бросить упаковку в карантин.

Уязвимые пакеты с открытым исходным кодом будут заблокированы от использования в вашей цепочке поставок. Таким образом, вы эффективно используете Bytesafe в качестве брандмауэра в качестве карантинного упаковки, нельзя использовать из реестра Bytesafe.

Настройки плагина содержат дополнительную конфигурацию, когда вы хотите, чтобы пакет был карантин. Когда функция карантина была включена, порог по умолчанию устанавливается на высокий уровень. Это означает, что пакеты с уровнем серьезности выше или равны высоким, будут помещены в карантин.

Вы также можете настроить только на карантинные пакеты, если у них есть доступные версии патчей, обычно используемые, когда вы хотите быть уведомленными о проблемах, но решите, что вы хотите продолжить свою работу, не разбивая каких -либо сборки.

Посетите Bytesafe документация Чтобы узнать больше о том, как настроить карантин для ваших нужд.

Выпустите пакет из карантина

В ситуациях, когда вы оценили риски с помощью карантинного пакета и сделали оценку для утверждения пакета использования, вы можете легко выпустить пакеты.

Выпуск из зоны карантина означает, что версия пакета будет помечена как безопасная в использовании. Пакет будет доступен из байтзафа всеми разработчиками и средами.

Журнал деятельности любых вопросов, связанных с этим пакетом, также покажет, что пакет был выпущен из карантина.

Хотите узнать больше о том, как контролировать цепочку поставок программного обеспечения?

Будьте в курсе других сообщений, связанных с безопасностью, которые могут вас заинтересовать:

Как использовать безопасное решение по умолчанию для путаницы зависимости

Автоматическая защита от путаницы зависимости

Andreas Sommarström ・ 19 мая ・ 4 мин прочитал

Как отслеживание проблем в ваших регистрах поможет вам получить обзор того, что нужно ваше внимание

Отслеживание проблем из проблемных пакетов NPM

Даниэль Парменвик ・ 24 августа ・ 4 мин читал

Оригинал: «https://dev.to/danielp/block-npm-package-threats-using-a-dependency-firewall-34bb»