Node.js: npm Enterprise bekommt Add-ons

Damit in Unternehmen tätige Entwickler npm-Pakete nutzen können, ohne gegen Qualitäts-, Sicherheits- und Rechtsbestimmungen ihres Arbeitgebers zu verstoßen, führt der Paketmanager nun Add-ons für seine Enterprise-Angebot ein.

In Pocket speichern vorlesen Druckansicht
Node.js: npm Enterprise bekommt Add-ons
Lesezeit: 2 Min.
Von
  • Julia Schmidt

Add-ons sollen npm-Enterprise-Kunden zukünftig helfen, besser von den im Node.js-Ökosystem verfügbaren Paketen zu profitieren. Zwar steht die Initiative noch am Anfang, laut Bekanntmachung sind allerdings nach Kontaktaufnahme mit dem Kundenservice ab sofort Erweiterungen der Node Security Platform, FOSSA und bitHound verfügbar.

So soll das npm Enterprise Security Add-on in der Seitenleiste der Detailseite eines Moduls über bekannte Sicherheitslücken aufklären und zukünftig Aufschluss darüber geben, ob das Modul bereits einem Audit unterzogen wurde. FOSSA, derzeit noch im Betastadium, hingegen prüft öffentliche und proprietäre Pakete in der nmpE-Registry eines Unternehmens und macht auf eventuelle Lizenzkonflikte aufmerksam. Außerdem soll es vor der Auslieferung des fertigen Projekts dabei helfen, verwendete Pakete zu listen und die zur rechtmäßigen Verwendung nötigen Dateien zu erstellen. Einmal aktiviert zeigt das bitHound-Add-on die Ergebnisse seiner Paketanalyse (Hinweise auf Sicherheitslücken, Aktualitätsstatus der Abhängigkeiten etc.) oder bietet einen Link zum Anfordern einer solchen.

Die Add-ons nutzen eine npm-Enterprise-API, mit der sich etwa zusätzliche Elemente in die Benutzeroberflächen privater npm-Seiten einbauen, Hooks integrieren oder bestimmte Vorgänge automatisieren lassen. Damit auch andere Unternehmen Add-ons entwickeln können, soll demnächst eine Dokumentation zur Verfügung stehen.

In Unternehmen stelle der Einsatz von externem Code Entwickler immer wieder vor Probleme. Ohne Hilfsmittel sei es mit der wachsenden Anzahl von Abhängigkeiten und Quellen häufig schwierig, beispielsweise Lizenzen eines Packages zu prüfen, um nicht gegen Unternehmensregeln zu verstoßen. Gleichzeitig beschleunige der Einsatz von Paketen die Entwicklung, da nicht alles neu zu programmieren sei. Das nun offiziell bekanntgemachte Add-on-Projekt ist Teil der von PayPal angestoßenen InnerSource-Bewegung. Ihr Ziel ist es, während der Open-Source-Entwicklung gemachte Erfahrungen in die Arbeitsabläufe im Unternehmen zu integrieren.

(jul)