OpenSSF发布NPM供应链最佳实践指南

编译：代码卫士

OpenSSF（开源安全基金会）发布《NPM最佳实践》V1版本，该新指南主要关注NPM依赖管理和供应链安全，由OpenSSF最佳实践工作组编写。这是帮助JavaScript和TypeScript 开发人员降低开源依赖使用风险的关键步骤。

将其他开发人员的项目用作依赖的能力使得开发和创新加速，也使开源社区更活跃。具体而言，为JavaScript和TypeScript项目服务的包生态系统npm 包含210万个程序包，很多JavaScript项目构建于数十个甚至数百个依赖的基础上。NPM是现有的最大的包生态系统；实际上，NPM生态系统要比多数其它重要的编程语言生态系统加起来还要大。

使用依赖也会造成风险。简单的依赖更新可损坏依赖项目。另外，和其它软件一样，依赖中也可能包含漏洞或者遭劫持，从而影响使用依赖的项目。然而，使用依赖的好处一般多于坏处。因此，通过仔细完善和安全的策略使用（和维护）依赖是最佳的。然而，开发这类策略可能困难重重，因为其中牵涉很多多数开发人员不熟悉的各种问题。因此，NPM社区的多名成员和安全专家一道，在OpenSSF的倡导下推出这些指南，让NPM社区受益。

该“NPM最佳实践”指南旨在帮助面临此类问题的开发人员和组织机构更加自信地使用依赖。指南概述了NPM中可用的供应链安全特性，描述了与使用依赖相关联的风险，并给出最佳实践以降低在不同项目阶段的风险。例如，指南涵盖了多项内容，比如，如何设置安全的CI配置、如何避免依赖混淆、以及如何限制遭劫持依赖的后果。开发人员可按照该指南积极加固NPM数据包的安全，对抗常见的供应链攻击。同时，我们也希望自动化工具能够遵循这些原则。

原文链接

https://openssf.org/blog/2022/09/01/npm-best-practices-for-the-supply-chain/

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。