Paraquire, или Перестаньте доверять библиотекам

TL; DR

Использование npm — пакетного менеджера NodeJS — сопряжено с проблемами безопасности. Штатными средствами невозможно контролировать права доступа, предоставляемые библиотекам. Вкупе с обилием микромодулей это может привести к непредсказуемым последствиям, часть из уже случившегося описана здесь, и в лучших традициях экосистемы npm я на неё сошлюсь.

Под катом описывается proof-of-concept библиотеки, реализующей механизм загрузки npm-модулей с возможностью установить права подобно тому, как на Android можно выдавать приложению конкретные разрешения.

Вместо

var lib = require('untrusted-lib');

предлагается писать где-нибудь

var paraquire = require('paraquire')(module);

и затем

var lib = paraquire('untrusted-lib');

или же

var lib = paraquire('untrusted-lib', {builtin:{https:true}});

Исходный код доступен на гитхабе под LGPLv3.

Кроме того я, не будучи достаточно опытным NodeJS-разработчиком, прошу у сообщества советов и обсуждения.
Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Zero Trust не спасёт, пока у вас включён SMBv1
• Claude Sonnet 4, и это самая защищенная модель? Wasted
• Zerotrust по-пацански #2. Как сделать устройство доверенным
• [Перевод] Я завайбкодил и запустил приложение за три дня. И его взломали. Дважды. Вот что я усвоил
• [Перевод] Полный захват аккаунта стоимостью $1000 — Думайте нестандартно
• Почему синтетические данные редко используются в реальных задачах
• [Перевод] Разбор уязвимости умного Bluetooth-замка
• Персональные AI-ассистенты или как открыть любому человеку свою почту и календарь
• Каким будет фишинг в ближайшем будущем
• 82% зумеров хотят, чтобы бренды обращались к ним на «вы»