По-рано тази година обявихме придобиването от npm, Inc. на ^Lift Security и Node Security Platform и обещахме да предоставим актуализации, докато нашите екипи се обединяват, за да защитят най-голямата общност на разработчици на JavaScript в света. Днес имаме някои новини за това как придобиването ви засяга.
Със сканиране за уязвимости, което е вградено във вашия работен процес, и чрез поддържане на окончателния списък на JavaScript с известни уязвимости на пакети, платформата за сигурност на възела предпази хиляди разработчици от несигурен код.
Откакто се присъединихме към npm, ние работихме, за да предоставим тези защити на по-голямата общност на разработчиците.
npm вече автоматично преглежда всяка заявка за инсталиране спрямо базата данни за уязвимости на NSP и ви предупреждава, ако се опитате да използвате опасен код. Освен това, започвайки с npm@6, нова команда, npm audit, рекурсивно анализира вашите дървета на зависимости, за да идентифицира конкретно какво е несигурно, да препоръча замяна или да го коригира автоматично с npm audit fix.
Тези инструменти са по-бързи и по-директно интегрирани в начина, по който пишете JavaScript. Те също така формират гръбнака на мощни нови инструменти за сигурност, които сме подготвили за следващите месеци. Като се има предвид това, време е да премахнете първоначалната платформа за сигурност на възела.
Услугата Node Security Platform ще спре да работи на 28 септември 2018 г.
Препоръчваме ви да актуализирате до npm@6 — просто въведете npm i -g npm@latest — за да се възползвате от мощна, автоматична защита, вградена директно във вашия работен процес, заедно с множество други подобрения и функции. Ако сте били абонат на съветите преди публикуване на NSP, вашият акаунт ще бъде анулиран автоматично (тези съвети вече са достъпни за клиенти на всяка от платените услуги на npm).
Гордеем се с начина, по който работим, за да ви предпазим и сме развълнувани от това, което все още ви предстои. Както винаги, не се колебайте да се „свържете“ с вашите отзиви или въпроси.
