MY
MY
About Us
Commerce Media Ventures Sdn Bhd (202401040819 / 1586666-W). All Rights Reserved
Powered by BigGo
News
Perisian

PNPM 10.16 Memperkenalkan Ciri Kelewatan Keselamatan di Tengah Kebimbangan Serangan Rantai Bekalan

Pasukan Komuniti BigGo
PNPM 10.16 Memperkenalkan Ciri Kelewatan Keselamatan di Tengah Kebimbangan Serangan Rantai Bekalan

Dunia pengurusan pakej JavaScript telah digoncang oleh serangan rantai bekalan terkini yang menyasarkan pakej-pakej popular. Sebagai tindak balas, PNPM 10.16 telah memperkenalkan ciri keselamatan terobosan yang melambatkan pemasangan kebergantungan yang baru dikeluarkan, mencetuskan perdebatan sengit dalam komuniti pembangun mengenai mengimbangi keselamatan dengan sifat pembangunan web moden yang pantas.

Dilema Keselamatan: Kelajuan Berbanding Keselamatan

Tetapan minimumReleaseAge yang baharu membolehkan pembangun menentukan berapa minit yang mesti berlalu selepas sesuatu pakej diterbitkan sebelum PNPM akan memasangnya. Pendekatan ini bertujuan untuk mewujudkan zon penimbal di mana pakej berniat jahat boleh dikesan dan dikeluarkan sebelum ia tersebar secara meluas. Ciri ini disertakan dengan senarai pengecualian untuk pakej dipercayai yang memerlukan kemas kini segera.

Walau bagaimanapun, komuniti berpecah mengenai butiran pelaksanaan. Ramai pembangun mempersoalkan pilihan minit sebagai unit, mencadangkan bahawa piawaian tempoh ISO8601 akan lebih intuitif dan konsisten dengan amalan industri.

Ciri Keselamatan Utama PNPM 10.16:

  • minimumReleaseAge: Menangguhkan pemasangan pakej mengikut minit yang ditetapkan
  • minimumReleaseAgeExclude: Membenarkan pengecualian untuk pakej yang dipercayai
  • Cadangan lalai: Penangguhan 1440 minit (24 jam)
  • Fungsi pencari: Kriteria carian kebergantungan tersuai
  • Perintah pnpm list dan pnpm why yang dipertingkatkan dengan bendera --find-by

Masalah Canary: Siapa Yang Menguji Dahulu?

Perbincangan menarik telah muncul mengenai apa yang dipanggil pembangun sebagai masalah canary. Jika semua orang melambatkan pemasangan pakej selama beberapa hari, siapa yang akan menjadi orang pertama untuk mengesan pakej yang terjejas? Komuniti nampaknya telah menemui jawapan yang tidak dijangka: pengguna NPM akan terus berkhidmat sebagai pengamal awal, manakala pengguna PNPM mendapat manfaat daripada jaring keselamatan pemasangan yang dilambatkan.

Ramai orang masih akan menggunakan npm, jadi mereka akan menjadi canary dalam lombong arang batu

Ini mewujudkan dinamik ekosistem yang menarik di mana pengurus pakej yang berbeza melayani profil risiko yang berbeza dalam komuniti JavaScript.

Budaya Kemas Kini Unik JavaScript

Perdebatan ini juga telah menyerlahkan perbezaan asas antara JavaScript dan ekosistem pengaturcaraan lain. Walaupun pembangun C++ mungkin menunggu berbulan-bulan sebelum menggunakan kebergantungan baharu, pembangun JavaScript sering mengemas kini pakej dalam beberapa hari atau minggu. Kecemasan ini berpunca daripada sifat kritikal keselamatan aplikasi web dan sistem semantic versioning yang menjanjikan kemas kini kecil yang selamat.

Perbincangan komuniti mendedahkan bahawa kebanyakan aplikasi JavaScript disambungkan ke rangkaian dan menghadapi ancaman keselamatan yang berterusan, menjadikan tampalan keselamatan pantas penting. Walau bagaimanapun, kecemasan yang sama ini mewujudkan tingkap kerentanan yang boleh dieksploitasi oleh penyerang.

Contoh Konfigurasi:

minimumReleaseAge: 1440   24 jam dalam minit
minimumReleaseAgeExclude:
  - webpack
  - react

Contoh Fungsi Finder:

module.exports = {
  finders: {
    react17: (ctx) => {
      return ctx.readManifest().peerDependencies?.react === "^17.0.0";
    }
  }
}

Alat Analisis Kebergantungan Lanjutan

Selain kelewatan keselamatan, PNPM 10.16 memperkenalkan fungsi pencari yang membolehkan pembangun mencari kebergantungan mengikut kriteria tersuai dan bukannya hanya nama pakej. Ciri ini membolehkan pertanyaan kompleks seperti mencari semua pakej dengan kebergantungan rakan sebaya atau jenis lesen tertentu, memberikan pembangun keterlihatan yang lebih baik ke dalam pokok kebergantungan mereka.

Gabungan kelewatan keselamatan dan alat analisis yang dipertingkatkan mewakili pendekatan yang semakin matang terhadap pengurusan kebergantungan, di mana keterlihatan dan berhati-hati bekerjasama untuk meningkatkan postur keselamatan keseluruhan.

Keluaran ini mencerminkan peralihan yang lebih luas dalam ekosistem JavaScript ke arah amalan pembangunan yang lebih defensif, mengakui bahawa kelajuan dan kemudahan yang menjadikan NPM popular juga mewujudkan kerentanan keselamatan yang memerlukan penyelesaian sistematik.

Rujukan: pnpm 10.16

Related News