依存性ファイアウォールを使用したNPMパッケージの脅威

もしあなたがJavaScriptプロジェクトにNPMパッケージをインストールしたならば、端末出力で既知の脆弱性のリストを持つ状態メッセージを疑いなく見てきました.
NPM、糸やPNPMパッケージのインストール中に基本的な脆弱性情報を提供すると、頻繁に脆弱性がどのようになっているか無視するのは難しいです.それは、彼らのプロジェクトのためにこれらのツールに頼る毎日のユーザーの何百万もの大きなサービスと保安処置です.

added 57 packages and audited 3 packages in 107 s
2 critical severity vulnerabilities

しかし、あなたは彼らがあなたのサプライチェーンを入力する前に脅威をブロックする場合はどうですか?多分、手動でチェックする代わりに、重要な問題で自動通知を得ることを好むか?または、特定の環境にとって重要かもしれない潜在的なセキュリティリスクを回避したいですか?
そして、依存関係をインストールしている開発者ではなく、自動化された環境であるときに何が起こるのでしょうか?現代のセキュリティツールの重要なコンポーネントは、脅威がアクティブにブロックされていることを確認することです.
以下に、依存関係のパッケージをクォートする方法を紹介しますBytesafe .
重大な脆弱性が検出されるたびに、あなたのチーム、環境とビジネスが保護されるように、あなたはすぐ行動をしたいかもしれません.あなたのサプライチェーンを入力するから不要なパッケージを検疫する方法を学ぶために進んでください!

検疫所

Quarantine allows you to automatically block the use of specific packages that surpass security threshold levels, for example npm packages with serious identified vulnerabilities. While simultaneously highlighting the issue for your teams to address instead of blocking (and hiding) them.

This means that you’ll get a powerful tool to control allowed packages for all developers & systems while being very easy to use.

なぜ問題のパッケージの自動検疫？

オープンソースソフトウェアの安全な使用は、ますます多くの共通の発生になっているサイバー攻撃による現代組織のための必要です.そして、それは潜在的に全体の組織に影響を与える可能性があるだけで、ITの問題以上です.
同時に、すべての開発チームは、セキュリティのニーズと生産性をバランスするために必要です.セキュリティソリューションは、まだあなたが生産的にできるようにあなたを保護する必要があります.
現代の安全保障問題は現代のツーリングを必要とするあなたの通常のワークフロー内で作業中に潜在的な問題を強調する効率的なツール.問題のためにあなたのパッケージを連続的にモニターして、あなたが安全なままでいるのを援助するBytesafeのようなツーリング.

脆弱パッケージの自動検疫の利点

あなたのサプライチェーンのためにファイアウォールで悪意のある脅威を防ぎます.あなたのセキュリティしきい値による検疫パッケージ.自動的に既知の脆弱パッケージの使用をブロックします-まだ確実にあなたのためにあなたのBytesafeワークスペースの中に脆弱なバージョンを保持しながら.

改善のためのセキュリティ問題を強調表示します.検疫は、単にパッケージを完全にブロックすることに大きな利点を提供します.パッケージがBytesafeの中で確実に保持されるとき、問題はあなたに問題を知らせます.あなたのチームを簡単かつ迅速に任意の問題を再現し、素晴らしいアプリケーションを構築することができます.

避けて問題を圧倒する-あなたのしきい値＆ルールを設定します.管理可能なレベルにノイズを減らすことはすべてのチームにとって重要です.さもなければ、セキュリティ問題の通知は単に無視されます.Bytesafeを使用すると、どのような重大度レベルでは、パッケージを隔離するようにカスタマイズすることができます.また、利用可能なパッチバージョンソリューションなしで問題の検疫を避けることを決定することができます-すべてのあなたのサプライチェーンのセキュリティで効率的に動作できるように.

開発のライフサイクル(テスト、構築、展開など)の分野は、ますます人間の相互作用を最小限に抑えて自動化されている.脆弱性からの検出と保護の適切なレベルで安全にオープンソースの依存関係を維持し、管理してください.

あなたのビジネスニーズに応じて構成可能なセキュリティしきい値

The Vulnerability and License スキャナでは、ハンドブレーキをプルし、すぐに検疫でパッケージをスローするときに定義することができます.
脆弱なオープンソースパッケージは、あなたのサプライチェーンで使用されることからブロックされます.あなたが効果的にパッケージ化されたパッケージとしてファイアウォールとしてBytesafeを使用しているこの方法は、Bytesafeレジストリから使用することはできません.
プラグインの設定には、パッケージを隔離するときの追加の設定が含まれます.検疫機能が有効になったとき、既定の閾値はハイに設定されます.これは、重大度レベルが高いか高いかに関するパッケージが検疫に置かれることを意味します.
また、パッチのバージョンが利用可能であればパッケージを隔離するように設定することもできます.

Visit Bytesafe documentation to learn more on how to configure quarantine for your needs.

パッケージを隔離から解放する

あなたが隔離されたパッケージで危険を評価して、使用パッケージを承認するために評価をした状況では、あなたは簡単にパッケージをリリースすることができます.
検疫エリアからの解放は、パッケージのバージョンを使用するように安全にフラグされます.パッケージはすべての開発者と環境によってbytesafeからアクセスできます.

このパッケージに関連するどんな問題の活動ログも、パッケージが隔離からリリースされたことを示します.

あなたのソフトウェアサプライチェーンを制御する方法の詳細を読むか？

あなたが興味を持っているかもしれない他のセキュリティ関連の記事で、最新の状態でいてください

依存性混乱のためにデフォルト解決に安全な方法を使う方法

依存性混乱からの自動保護

アンドレアス・ゾンマ・ 5月19日・ 4分読む

#npm #security #javascript #node

どのようにお客様のレジストリを追跡する問題は、あなたの注意を必要とするの概要を得ることができます

問題NPMパッケージからのトラックの問題

ダニエルパルメビーク・ 月24日・ 4分読む

#javascript #npm #devops #webdev