Node.js: verifica della sicurezza dei moduli di un'app

Short link

Alcuni tool raccomandati per verificare la sicurezza dei moduli di un'app in Node.js.

L’utilizzo di npm per gestire le dipendenze dell’applicazione è già un'ottima cosa. Però i pacchetti che si utilizzano possono contenere vulnerabilità di sicurezza critiche che potrebbero influenzare l’applicazione. La sicurezza dell’applicazione coincide con la sicurezza delle dipendenze.

Utilizzare uno o entrambi dei due strumenti di seguito indicati per garantire la sicurezza di pacchetti di terze parti che vengono utilizzati: nsp e requireSafe. Questi due strumenti svolgono le stesse attività.

nsp è uno strumento da shell che esegue una verifica sul database delle vulnerabilità del Node Security Project per determinare se l’applicazione utilizza pacchetti con vulnerabilità note. Si installa come segue:


npm i nsp -g

Utilizzare questo comando per inviare il file npm-shrinkwrap.json per la convalida a nodesecurity.io:


nsp audit-shrinkwrap

Utilizzare questo comando per inviare il file package.json per la convalida a nodesecurity.io:


nsp audit-package

Ecco alcune indicazioni su come utilizzare requireSafe per verificare i moduli di Node:


npm install -g requiresafe
cd app
requiresafe check

L'autore

Gabriele Romanato, sviluppatore web full stack specializzato in siti, applicativi web ed e-commerce con Node.js e PHP.