NodeSource zertifiziert Node.js-Module
Der kostenpflichtige Service dient als Gateway zu npm und verwendet ein Bewertungssystem, um Entwickler vor unsicheren externen Modulen zu schützen.
- Rainald Menge-Sonnentag
NodeSource hat das Angebot um Security-Anwendungen für Node.js um Certified Modules erweitert. Dabei handelt es sich um ein Gateway, das öffentlich verfügbare Node-Module überprüft und zertifiziert. Auf die Weise will es Entwickler unter anderem vor Paketen schützen, die potenzielle Schwachstellen enthalten.
Certified Modules untersucht die über npm verfügbaren Pakete und erstellt einen Trust Score. Das System testet unter anderem auf Sicherheitslücken, Integrität und Lizenzierung. Dabei berücksichtigt es auch die Abhängigkeiten zu anderen Modulen. Die Bewertung erfolgt separat für jede verfügbare Version eines Moduls. Pakete, die grobe Verletzungen aufweisen, erhalten selbstredend kein Zertifikat. Es gibt jedoch auch weniger tragische Versäumnisse wie fehlende Dokumentation, mit denen ein Modul zertifiziert werden kann.
(Bild: NodeSource)
Die Integration in vorhandene Entwicklungssysteme erfordert laut dem Blogbeitrag lediglich eine Änderung an der .npmrc-Datei, um das Gateway zu nutzen. Ein Web-Interface gibt eine Übersicht über die Scores der Pakete in der Registry. Außerdem lässt sich mit dem Kommandozeilen-Werkzeug nscm beispielsweise die letzte zertifizierte Version eines bestimmten Moduls finden. Das Tool ermöglicht zudem das Whitelisting einzelner Pakete, die auch nicht zertifiziert genutzt werden dürfen.
Externe Module als Unsicherheitsfaktor
Die Sicherheit und Zuverlässigkeit externer npm-Pakete steht immer wieder im Fokus. Im März 2016 hatte es großen Wirbel um ein aus dem Paketmanager entferntes Modul gegeben, wodurch zahlreiche Systeme wie Babel und Node beim Build scheiterten – der Vorgang führte zu einer geänderten Unpublish-Policy für Pakete. Etwa zur selben Zeit hatte ein Google-Mitarbeiter eine Sicherheitslücke veröffentlicht, die eine Verbreitung von Schadcode über npm ermöglichte.
Weitere Details zu Certified Modules finden sich im Blogbeitrag. Der Preis startet bei tausend US-Dollar pro Monat für bis zu 50 Nutzer. NodeSource hat sich auf Enterprise-Anwendungen für Node.js mit erweiterten Sicherheits- und Performancefunktionen spezialisiert. Im September 2015 hatte das Unternehmen mit NSolid eine spezielle Laufzeitumgebung für Node.js herausgegeben. (rme)
