GNU/Linux >> Tutoriales Linux >  >> Linux

Cómo instalar paquetes de forma segura usando Npm o Yarn en Linux

Imagina este escenario. Desea instalar una aplicación en su caja de Linux. El paquete se encuentra en la etapa inicial de desarrollo y solo está disponible en el repositorio de NPM. Eres un poco paranoico y escéptico sobre la autenticidad del paquete. ¿Qué harías? Si es programador, puede verificar el código del paquete y ver si hay algún problema. Si no sabe sobre codificación, no tiene más remedio que confiar ciegamente en el paquete e instalarlo de todos modos. Para remediar este problema, existe un programa llamado "npq" que se puede usar para instalar paquetes de forma segura usando Npm o Hilo administradores de paquetes en Linux.

El npq auditará los paquetes que desea instalar antes de instalarlos. Si hay vulnerabilidades conocidas, se mostrará la advertencia para que pueda omitir la instalación de forma segura.

Npq realizará los siguientes pasos para verificar si el paquete es seguro o no.

  1. Comprobará la base de datos de vulnerabilidades de Snyk para asegurarse de que existan vulnerabilidades para el paquete. Si hay alguna vulnerabilidad conocida, mostrará la advertencia.
  2. Verifique la antigüedad del paquete. Si la antigüedad del paquete es inferior a 22 días, mostrará un mensaje de advertencia.
  3. Verifique el conteo de descargas de paquetes. Si el recuento de descargas del paquete es inferior a 20 en el último mes, mostrará una advertencia.
  4. Compruebe si hay un LÉAME para el paquete. Si no hay README, mostrará una advertencia.
  5. Compruebe si el paquete tiene scripts previos o posteriores. Estos scripts pueden ser maliciosos, por lo que mostrarán un mensaje de advertencia.

Si no ve ninguna advertencia, es probable que el paquete sea seguro. Tenga en cuenta que dije:el paquete es PROBABLEMENTE seguro . Pero no hay seguridad garantizada . Todavía podría existir un paquete malicioso o vulnerable que no tenga información publicada en la base de datos de Synk y pase las comprobaciones de npq.

Después de que se hayan realizado todas las pruebas, npq transferirá el proceso de instalación del paquete real a Npm o al administrador de paquetes Yarn. Npm es el predeterminado.

Tenga en cuenta que Npq no le impedirá instalar los paquetes. Solo auditará un paquete en busca de posibles problemas de seguridad y mostrará la advertencia si hay vulnerabilidades conocidas. Depende de usted decidir si ignorar la instalación o continuar bajo su propio riesgo.

Instalar Npq

Asegúrese de haber instalado Nodejs en su caja de Linux. Si no, consulte el siguiente enlace.

  • Cómo instalar NodeJS en Linux

Después de instalar Nodejs, ejecute el siguiente comando para instalar Npq:

$ npm install -g npq

El comando anterior colocará dos binarios, a saber, npq y héroe npq en tu camino.

Instalar paquetes de forma segura usando Npm o Yarn en Linux

Para auditar e instalar paquetes, por ejemplo tldr , simplemente ejecute:

$ npq install tldr

Salida de muestra: 

✔ Checking package maturity
✖ Identifying package author...
✔ Checking package download popularity
✔ Checking availability of a README
✔ Identifying package repository...
✔ Checking package for pre/post install scripts
✖ Checking for known vulnerabilities
Detected possible issues with the following packages:
[tldr]
- the package description has no e-mail associated with author(s). Proceed with care.
[*]
- Unable to query for known vulnerabilities. Install snyk and authenticate or provide a SNYK_TOKEN env variable (https://snyk.io)

? Would you like to continue installing package(s)? (y/N)

Como puede ver en el resultado anterior, hay tres advertencias:

  1. Npq no pudo identificar al autor del paquete tldr,
  2. No hay una dirección de correo electrónico en la descripción del paquete,
  3. Aún no he configurado ni autenticado con la base de datos Snyk. Para instalar Synk CLI y autenticarse con la base de datos de Snyk, consulte este enlace .

Si no le importan las advertencias y confía en que es seguro, simplemente escriba Y para continuar con la instalación del paquete.

Crear alias

Npq es solo una herramienta previa al paso para verificar las vulnerabilidades conocidas de los paquetes npm antes de instalarlos. Si lo usa a menudo en su trabajo diario, simplemente cree un alias como a continuación.

$ alias npm='npq-hero'

De ahora en adelante, simplemente puede auditar un paquete npm e instalarlo usando el comando:

$ npm install package_name

Cambiar administrador de paquetes predeterminado

Como ya mencioné, Npq transferirá el proceso de instalación a Npm administrador de paquetes por defecto después de auditarlos. Si desea configurar Yarn como administrador de paquetes predeterminado, especifique una variable de entorno:

NPQ_PKG_MGR=yarn

Para crear un alias con yarn como administrador de paquetes, haz lo siguiente:

alias yarn="NPQ_PKG_MGR=yarn npq-hero"

Espero que esto ayude.


Linux

  1. Cómo instalar y usar Yarn Package Manager en Linux

  2. ¿Cómo instalar paquetes Npm en Nixos?

  3. Cómo instalar paquetes usando dnf en CentOS/RHEL 8

  4. Cómo instalar un archivo .dsc en Linux

  5. Cómo instalar npm en alpine linux

Cómo instalar Yarn en Debian 10

Cómo instalar el administrador de paquetes Yarn NPM en Ubuntu 20.04

Cómo instalar Anaconda en Linux

Cómo instalar Yarn en Linux Mint 20

Cómo instalar Yarn en Ubuntu 18.04

Cómo enumerar los paquetes instalados en Linux mediante la administración de paquetes