fominslava 10 сен 2020 в 11:01

Безопасность npm-проектов, часть 2

8 мин

10K

Блог компании ДомкликИнформационная безопасность*Веб-разработка*JavaScript*Node.JS*

+27

Комментарии 5

somurzakov 10 сен 2020 в 21:43

а насколько вероятна ситуация когда уязвимость есть, но еще не найдена, не опубликована и по ней advisory нету. Есть какие-нибудь оценки?

какие-то есть вообще рекомендации, чтобы избежать узявимостей вообще?

Lolman 11 сен 2020 в 02:35

Такая уязвимость будет всегда. Сотни-тысячи зависимостей постоянно обновляются. Белых хакеров не так много, чтобы уследить за всем этим.

Единственное что вы можете сделать это регулярно закрывать известные дыры патчами. А чтобы обезопасить данные нужно максимально усложнить жизнь хакеру правильно используя современную криптографию.

fominslava 11 сен 2020 в 09:58

Разумеется полностью избежать уязвимостей невозможно, над этим собственно и бьется вся индустрия. В целом, если смотреть по количеству опубликованых рекомендаций, то их немного. За Август было всего 5 штук.

kspshnik 23 сен 2022 в 01:25

И серия заглохла? :(

fominslava 25 янв 2023 в 12:18

Я больше не сотрудничаю с ДомКлик (компания, которая спонсировала серию) и видимо они решили не развивать это направление.

А поделитесь мнением, что бы Вам было интересно еще узнать на эту тему? Возможно я найду время написать об этом дополнительно. Также, подписывайтесь на мой канал (https://t.me/js_is_not_java), надеюсь сможете найти там для себя что-то полезное.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий