FrontendConf

Безопасность при работе с NPM

FrontOps

Доклад принят в программу конференции

Целевая аудитория

Доклад предназначен для фронтенд-разработчиков уровня middle+, однако будет понятен и джунам, и интересен и синьорам, так как мы все активно пользуемся реестром NPM, ставим новые пакеты и обновляем существующие зависимости

Тезисы

Каждый месяц в реестре NPM публикуется 30-40 тысяч новых пакетов и огромное количество обновлений существующих библиотек. Что там лежит - очередное обновление React, полезная доработка axios или "небольшие правки", нацеленные на кражу данных ваших криптокошельков, - никто не знает.

При этом, работа с реестром NPM - неотъемлемая часть нашей жизни, и доля опенсорса в современных проектах иногда достигает 80-90%.

Я расскажу о том, какие существуют типы угроз и проблем, связанных с работой с внешними библиотеками, поговорим про typosquatting, подмену пакетов, распространение вредоносных пакетов через вакансии, получение хакерами доступа к разработке популярных пакетов и многое другое.

Я расскажу о том, как после очередного обновления пакетов падали проекты с мировым именем, как, добавив новый пакет, можно легко поделиться паролем от криптокошелька со злоумышленником, как разработчики давали удаленный доступ к своему компьютеру, установив проект из тестового задания после собеседования.

Поговорим и о том, какие существуют методологии и способы защиты от подобных угроз, а в конце доклада я поделюсь чеклистом по безопасной работе с npm.

Фронтенд разработчик с опытом 7+ лет. Ментор и автор канала по разработке https://www.youtube.com/@CosyFrontendNastia. Автор программы курса SkillBox по Vue 3.

Видео