Безопасность при работе с npm: угрозы, кейсы и истории

Работа с пакетами, их установка и обновление — неотъемлемая часть работы фронтенд-разработчика, однако существует ряд угроз, способных существенно навредить проекту.

К таким угрозам относятся typosquatting, подмена пакетов, распространение вредоносных пакетов через вакансии, получение хакерами доступа к разработке популярных пакетов и многое другое.

Я расскажу о том, как после очередного обновления пакетов падали проекты с мировым именем, как, добавив новый пакет, можно легко поделиться паролем от криптокошелька со злоумышленником, как разработчики давали удаленный доступ к своему компьютеру, установив проект из тестового задания после собеседования.

Поговорим и о том, какие существуют методологии и способы защиты от подобных угроз, а в конце доклада я поделюсь чеклистом по безопасной работе с npm.