Alcuni tool raccomandati per verificare la sicurezza dei moduli di un'app in Node.js.
L’utilizzo di npm per gestire le dipendenze dell’applicazione è già un'ottima cosa. Però i pacchetti che si utilizzano possono contenere vulnerabilità di sicurezza critiche che potrebbero influenzare l’applicazione. La sicurezza dell’applicazione coincide con la sicurezza delle dipendenze.
Utilizzare uno o entrambi dei due strumenti di seguito indicati per garantire la sicurezza di pacchetti di terze parti che vengono utilizzati: nsp e requireSafe. Questi due strumenti svolgono le stesse attività.
nsp è uno strumento da shell che esegue una verifica sul database delle vulnerabilità del Node Security Project per determinare se l’applicazione utilizza pacchetti con vulnerabilità note. Si installa come segue:
npm i nsp -g
Utilizzare questo comando per inviare il file npm-shrinkwrap.json per la convalida a nodesecurity.io:
nsp audit-shrinkwrap
Utilizzare questo comando per inviare il file package.json per la convalida a nodesecurity.io:
nsp audit-package
Ecco alcune indicazioni su come utilizzare requireSafe per verificare i moduli di Node:
npm install -g requiresafe
cd app
requiresafe check