Gestionar la seguridad en proyectos con NPM

Clase 12 de 18 • Curso de Gestión de Dependencias y Paquetes con NPM

Resumen

La seguridad de tu proyecto puede ser vulnerada por paquetes desactualizados, ya que estas inseguridades son resueltas en versiones minor o patch. Al momento de instalar tus paquetes con el comando npm install puede mostrar advertencias (NPM WARN) de las dependencias desactualizadas.

Auditar tus dependencias

El comando npm audit muestra una descripción de las dependencias instaladas, si se encuentran vulnerabilidades, se calculará el impacto al proyecto.

El comando npm audit fix proporciona una actualización de los paquetes, similar al comando npm update <paquete>. Si se requiere un informe más detallado en formato JSON, utiliza el comando npm audit --json.

Contribución creada con aportes de: Andrés Guano.

José Tuzinkievicz

student•

Sería recomendable primero intentar solucionar con npm audit fix y lo que no se solucione lo actualizamos de a uno?

Oscar Barajas Tavares

Team Platzi•

Sí, ese seria el camino idóneo para auditar nuestros proyectos.

Efraín Hernández García

student•

Excelente pregunta y que bueno que el profe barajas aclara que si es mejor hacerlo de esa manera.

Roberto Esqueda

student•

Podemos revisar las vulnerabilidades de nuestro proyecto con: npm audit En caso de tener vulverabilidades, se recomienda usar el comando: npm audit fix Y en caso de que esto no lo solucione, podemos ir actualizandolos de uno en uno.

Joel Vicente Nieto Gómez

student•

Vientos 👍

Joel Vicente Nieto Gómez

student•

Gracias.

Levi Nuñez

student•

Seguridad

npm audit para ver las vulnerabilidades que tenemos en nuestro proyecto
npm audit --json nos genera un json con información un poco mas detallada de lo que esta pasando con estos paquetes que instalamos
una ves sepamos cual es la vulnerabilidad podemos proceder a actualizar cualquiera de los paquetes ejem: npm update eslint-utils --depth 2 esto para instalar todas sus dependencias
nom audit fix es para solucionar las vulnerabilidades que tengamos en nuestro proyecto básicamente, actualiza a la ultima version nuestros paquetes con las dependencias que requieren, después de esto volvemos a correr npm audit para ver que ya no tenemos vulnerabilidades.
también hay una herramienta que garantiza que estemos siempre actualizados con nuestras dependencias del proyecto y es snyk.io

María Jimena Rodríguez Contreras

student•

muchas gracias

DARWIN JUAN CARLOS CATUNTA GARCIA

student•

Gracias por resumen :)

Carlos Eduardo Gomez García

teacher•

Genial, algo curioso es que si tienes un proyecto en GitHub, hay una cosa llamada DependaBot que igual busca estas vulnerabilidades en tus paquetes y te hace un pull request solucionándolas, aunque no se qué tan parecido sea a npm audit 🤔

Juan Miguel Jimenez

student•

Gracias por el aporte!

Manuel Rivera

student•

Pienso que hay que tener mucho cuidado con el comando npm audit fix, ya que todo depende del proyecto en el que estemos trabajando, ya que como hemos visto en el trayecto del curso, pueda que estemos trabajando con algunas dependencias en específico y este comando podría actualizarlas, creería yo, no lo se rick

Juan Jose Vega

student•

Sí, no se debería usar si no se sabe que esta pasando de fondo.

Pablo Verduzco

student•

Pero recuerda que existen tres tipos de cambios en una versión. Normalmente una actualización para solucionar problemas de seguridad solamente se realiza un parche (patch), por ejemplo una dependencia pasa de la versión 1.0.0 a la versión 1.0.1 o bien se realiza un cambio menor (minor) que por ejemplo una dependencia pasaría de la versión 1.0.0 a la versión 1.1.0; en estos casos no debería de haber ningún problema, sin embargo cuando existe un cambio mayor (major), por ejemplo cuando una dependencia pasa de la versión 1.0.0 a la versión 2.0.0 deberíamos tener cuidado por que es ahí cuando probablemente la dependencia que estemos utilizando empiece a funcionar de manera totalmente diferente y ahí tendríamos que hacer una migración para poder esperar el funcionamiento adecuado 👨🏻‍💻 .

Marcos Orozco Rios

student•

Para **Generar un Archivo de Texto ** con la auditoria generada por formato en JSON, ejecutar el comando

npm audit --json  > auditoria.txt

Israel Yance

student•

Al día de hoy:

found 410 vulnerabilities (398 low, 3 moderate, 8 high, 1 critical)

Jimmy Buriticá Londoño

student•

Vas bien 👍

HUGO ANDRES DIAZ BERNAL

student•

De primera se ve muy denso npm...

Carlos Cuevas Sosa

student•

Como todo, con práctica se va haciendo más fácil. ¡Nunca pares de aprender!

Migrant Cyborg

student•

Haz el curso de webpack, ahí le agarras cariño

Ruth Lucy Campos Huamantica

student•

Para poder generar un documento json, donde está la información un poco más detallada de qué está pasando con nuestros paquetes.

npm audit --json

Alfredo Martínez García

student•

Pregunta de examen :3

Jose Manuel Montaño Saenz

student•

Seguridad

Cuando estemos trabajando se debe garantizar que todos nuestro proyectos no incluyan código malicioso y cuando se este trabajando todo este acorde a las normas del team.

Npm nos ofrece una herramienta en la que audita los paquetes instalados y determina cuales pueden ser un riesgo:

Nos muestra los paquetes desactualizados o que pueden tener un error o vulnerabilidad.

npm audit

Genera un archivo .json con la información mas detallada.

npm audit --json

Nos ayuda a reparar todos los error que puede tener o todas las vulnerabilidades.

npm audit fix

Buenas practicas

Antes de auditar nuestro paquetes, podemos actualizarlos para minimizar los riesgos.

Abelardo Salazar

student•

Para paquetes globales npm audit no funciona. Investigando conseguí la siguiente solución npm install -g npm-check-updates Que lo que hace es actualizar las dependencias globales, verificando que estén en su última versión, y manejando las vulnerabilidades

Khevin Efraín

student•

Pueden echar un vistazo a herramientas open source como AuditJS que fue diseñada para asegurarse de que sus dependencias (y todas las dependencias de sus dependencias hasta el final) estén libres de vulnerabilidades de seguridad. En este post pueden encontrar más información y resolver sus dudas:

Sergio Brandon De Lucio Chavero

student•

Increible !!

Jose Enrique Marquez

student•

Porque 2 y no 1 o 3 cuando ejecuto el comando

npm update eslint-utils --depth 2

Siento que faltaron cosas por explicar en este clase.

Joel Josué Rojas Quisbert

student•

Buena pregunta, creo que tiene que ver con las versiones de las dependencias del paquete que se actualizara, pero no estaría de mas la explicación de alguien mas conocedor...

Joaquín Arturo Beltrán López

student•

Hola. Actualmente parece ser que es un atributo del comando que ya no se utiliza. Al utilizar esta propiedad del comando nos dice eso. Esto lo conteste en un comentario anterior pero este se encuentra más arriba :D Este el enlace al que redirige https://github.com/npm/rfcs/blob/main/implemented/0019-remove-update-depth-option.md

Obed Paz

student•

Si queremos ver esto fuera de la terminal podemos crear un archivo txt o preferiblemente un archivo json:

npm audit --json > audit.json

Tambien podemos abrir ese archivo que hemos generado, de una sola vez en nuestro editor de codigo:

npm audit --json > audit.json && code audit.json

Joel Eduardo Sánchez Herrera

student•

La importancia de la seguridad en nuestro poryecto es por nuestra parte. No debe de incluir ningun software malisioso.

Cuando descargamos algo tenemos que analizar lo que contiene, NPM nos ayuda con una herramienta para hacer esto. Con el ya visto:

npm installl

Nos marcara y actualizara todos los paquetes para verificar que todo este instalado correctamente. Pero tenemos otro comando para poder auditar nuestro proyecto con:

npm audit

Donde podremos ver las vulnerabilidades que tendremos en nuestros paquetes.

Podemos generar un documento JSON con las informacion de esta auditoria mas detallada con:

npm audit --json

Para poder instalar o darle un update a una dependecia que tiene un problema critico podemos utilizar

npm update Paquete --depth 2

Donde actualizara los paquetes para solucionar estas vulnerabilidades. Para poder solucionar TODOS LOS DETALLES sera con:

npm audit fix

Esto solucionara las mayoria de las vulnerabilidades.

Daniel Esteban Santos Mendez

student•

y si npm update <patequete> --depth 2 no me funciona?

Diego Fernando Rojas Quintero

student•

como sabría yo a que profundidad debo que ir cuando tengo una vulnerabilidad alta en un paquete cuando uso:

npm update &lt;Nombre_ del_paquete&gt; --depth &lt;profundidad&gt;

Gonzalo Amador Hernández

student•

depende de cada proyecto por eso debes ejecutar el comando

npm audit

y leer todo el reporte, ahi te indicara como solucionarlo, en el caso de isntructor le salio algo asi

Run npm update eslint-utils --depth 2 to resolve 1 vulnerability

Adalberto Zanabria Castro

student•

Mmmm... a mi en un proyecto de webpack me manda errores por seguridad y me dice que para arreglarlos me regrese a una versión anterior del paquete (Se hace solo con audit fix --force) y ya con la versión vieja me da error que esa también y me pelotea entre una y otra versión :/

Jose Daniel Molina

student•

Entonces si el comando npm audit fix no soluciona los problemas, debo actualizar cada paquete manualmente.

Gustavo Adolfo Abello Fernandez

student•

Es correcto.

Daniel Reyes

student•

Me genera confusión el hecho de que el profesor en los primeros temas diga que cuando trabajamos con nuestro proyecto, puede que requiramos de una determinada versión, pero al mismo tiempo si no la actualizo, me puede generar vulnerabilidad, entonces siempre es mejor trabajar con todo actualizado.

Por otro lado, hay un control de seguimientos con el lock, y si colocamos el signo ^ o ~ solo permitiremos cambios en determinados aspectos, sin embargo, al final todo depende de la vulnerabilidad o no.

Es decir, no importa si yo quiero trabajar con determinada versión, o si voy a permitir cambios o no, si hay vulnerabilidad, tengo que actualizar (hasta ahora es la única forma para solucionar, update o fix)

Rafael Danilo Burgos

company_admin•

Si la premisa siempre es tener actualizada a la ultima versión todos los paquetes, pero si por algún motivo, existe un proyecto viejo que sigue en producción, ahí no se va a poder actualizar algún paquete en especial a su ultima versión, por lo que habría que buscar si esa versión tiene alguna vulnerabilidad y tratar lo mas pronto posible migrar todo el proyecto a las versiones actuales.

Gestionar la seguridad en proyectos con NPM

Introducción a NPM

¡Renovamos este curso de NPM!

Acerca de NPM, paquetes y módulos

Instalación

Cómo instalar un NPM en Windows

Cómo instalar un NPM en Mac

Configuración

Iniciar un proyecto

Instalación de dependencias

Instalación de dependencias con force

Cómo actualizar y eliminar paquetes

Package lock y el uso los símbolos ^ y ~

Ejecutar tareas

Solución de problemas en proyectos con NPM