[GUIDA] Installare pacchetti in modo sicuro con Npm o Yarn grazie a Npq
Supponiamo che dobbiate installare alcuni pacchetti disponibili nel repository di NPM ma siete un po’ scettici circa l’autenticità o la sicurezza dei pacchetti stessi. Chiaramente nessuno si può prendere la briga di andare a controllare e analizzare a fondo tutto il codice sorgente. Per stare un po’ più tranquilli c’è un software chiamato Npq che può essere usato per installare in modo (più) sicuro i programmi usando i package managers Npm o Yarn su Linux.
Npq controlla i pacchetti che si desidera installare prima che vengano installati. Se sono presenti vulnerabilità note, un pop-up informa l’utente della cosa, dando la possibilità di evitare l’installazione.
Npq esegue i seguenti passaggi per verificare se il pacchetto è sicuro o meno:
- Controlla il database Snyk Vulnerability DB per verificare se esistono vulnerabilità per il pacchetto in questione. Se sono presenti problemi viene mostrato un avviso;
- Verifica la data di caricamento del pacchetto. Se è stato caricato da meno di 22 giorni verrà mostrato un avviso;
- Controlla il numero dei download, se sono meno di 20 nell’ultimo mese verrà mostrato un avviso;
- Verifica la presenza di un file README. Nel caso non ci sia viene mostrato un avviso;
- Controlla se ci sono dei pre o post script e, nel caso, mostra un warning;
Se non vengono mostrati avvisi il pacchetto è ritenuto sicuro da Npq. Chiaramente la garanzia assoluta non c’è, ma una verifica con questo tool è sicuramente meglio che niente. Dopo aver eseguito tutti i test, Npq consegnerà il processo di installazione del pacchetto a Npm o a Yarn.
Va sottolineato che Npq non impedisce di installare i pacchetti. Spetta all’utente decidere se ignorare l’installazione o continuare a proprio rischio.
Installare Npq
Per installare Npq è necessario avere Nodejs a bordo. Dopodichè è sufficiente dare il seguente comando:
$ npm install -g npq
Per controllare e installare un pacchetto è sufficiente dare il seguente comando:
$ npq install nomeprogramma
Verrà mostrato un output di questo tipo:
Cambiare il package manager di default
Come detto anche in precedenza Npq una volta completato il suo lavoro passa le cose nelle mani del package manager. Se si vuole impostare Yarn come package manager di default bisogna specificarlo così:
- NPQ_PKG_MGR=yarn
Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.