Bonnes pratiques de sécurité NPM : se protéger contre les attaques de la chaîne d’approvisionnement
Cet article résume les risques de sécurité présents dans l’écosystème NPM, tels que les logiciels malveillants, les attaques de la chaîne d’approvisionnement et le phishing. Il fournit diverses bonnes pratiques de sécurité, notamment la fixation des versions des dépendances, la substitution des dépendances transitives, la désactivation des scripts du cycle de vie, la définition d’un âge minimal de publication, l’utilisation du modèle d’autorisations, la réduction des dépendances externes, l’activation de l’authentification à deux facteurs, la création de jetons à accès limité et la génération de déclarations de provenance. L’importance de l’audit, de la surveillance et des outils de sécurité est soulignée, ainsi que des recommandations pour utiliser des registres de paquets privés et traiter l’épuisement des mainteneurs.