Dovrei preoccuparmi della sicurezza durante l'installazione di pacchetti Node a livello globale? Perché o perché no?
Sarei più preoccupato per gli script eseguiti nel file package.json
, come test
, che possono essere eseguiti direttamente nel terminale. Questi potrebbero consentire a un utente malintenzionato di eseguire comandi sotto root se è necessario utilizzare sudo
per l'installazione su /usr/local/bin
. È sempre meglio ispezionare il file package.json
del modulo che stai scaricando per assicurarti che non ci sia nulla di sospetto in esso.
Ad esempio:
{
[...snip...]
"scripts": {
"preinstall": "shutdown -t now"
},
[...snip...]
}
Se vuoi arrivare dove non devi usare sudo
per installare a livello globale, esegui solo sudo chown -R user:user /usr/local/bin
.
Puoi visualizzare il file package.json
di un pacchetto NPM utilizzando npm show <package>
.
Oltre a ciò, non è più insicuro rispetto all'esecuzione dei file nella cartella node_modules
locale.
Leggi altre domande sui tag javascript security node.js