npm audit: Mehr Bewusstsein für Sicherheitslücken schaffen

npm audit ist jetzt verfügbar

Mit dem Release von npm 6.0 wurde npm audit angekündigt, ein neues Tool, das die Sicherheit bei der Arbeit mit Open-Source-Code erhöhen soll. Nun ist npm audit da und steht nicht nur in npm@6 zur Verfügung, sondern kann mit Einschränkungen auch mit Vorgängerversionen genutzt werden.

npm audit führt ein Security-Review des Dependency-Trees von Projekten durch, der sofort erfolgt und auf einem Abgleich mit den Schwachstellen beruht, die in der Datenbank von NodeSecurity.io erfasst sind. Durch das Ausführen von npm audit werden Reports erzeugt, die nicht nur darüber Auskunft geben, welche Schwachstellen im Code vorliegen, sondern auch Hinweise zu ihrer Beseitigung mit npm-Kommandos.

npm: Code-Audits automatisiert durchführen

Daneben umfassen die Reports, die von npm audit erzeugt werden, Informationen zum Ort und der Dependency, die im Rahmen welcher eine Sicherheitslücke gefunden wurde. Außerdem umfassen sie einen Link zu mehr Informationen zum jeweiligen Problem auf der Node Securitry Platform, die kürzlich von npm übernommen wurde. Auch während der Installation neuer Dependencies per npm install wird nun eine automatische Sicherheitsprüfung durchgeführt und eine Meldung ausgegeben, die über eventuell vorhandene Schwachstellen informiert. Für einen vollständigen Report muss aber npm audit genutzt werden, das allen Nutzern der entsprechenden npm-Versionen kostenlos zur Verfügung steht.

npm audit ist mit Versionen ab npm@5.10.0 und npm@6 vollständig kompatibel. In älteren Versionen wird kein vollständiger Bericht erzeugt, sondern nur eine Warnung ausgegeben:

npm-notice: [SECURITY] marked has 3 high, and 2 moderate vulnerabilities. Go here for more details: https://nodesecurity.io/advisories?search=marked&version=0.3.0 - Run `npm i npm@latest -g` to upgrade your npm version, and then `npm audit` to get more info.

Bewusstsein für Sicherheitslücken schärfen

Von dem neuen npm audit erhofft man sich bei npm, bei Entwicklern mehr Bewusstsein für das Problem der Schwachstellen in Open-Source-Software zu schaffen. So möchte man dazu beitragen, dass innerhalb des JavaScript-Ökosystems seltener Dependencies verwendet werden, die Schwachstellen enthalten und das Ökosystem so insgesamt sicherer werden könne. Mehr Informationen zum automatisierten Audit von Dependencies im Code gibt es im npm Blog und in der offiziellen Dokumentation von npm audit.