Facendo una ricerca a ritroso sulle news pubblicate sul portale utilizzando la chiave di ricerca “NPM” non si scappa: ogni volta che abbiamo parlato di questi pacchetti è sempre stato per via della sicurezza… Violata. NPM (Node Package Manager) è l’ecosistema di riferimento per la gestione dei pacchetti JavaScript e Node.js: consente di installare, condividere...

Leggi il contenuto originale su Mia mamma usa Linux!

Abbiamo trattato molte volte nel recente passato la questione sicurezza relativa a piccole porzioni di software che sorreggono l’intero ecosistema di un’applicazione. Chi di noi infatti non ricorda questa famosissima immagine di xkcd: Abbiamo anche parlato delle conseguenze nefaste provocate da azioni unilaterali di sviluppatori di piccoli software che sono però inclusi come dipendenze e…
Read more

Leggi il contenuto originale su Mia mamma usa Linux!

Come prevedibile, una situazione geopolitica come quella attualmente tra Ucraina e Russia raramente rimane limitata ai suoi confini geografici, tanto più nell’era hi-tech in cui ci troviamo. Sebbene, infatti, tale guerra si stia combattendo anche nel cyberspazio con hacker/cracker di entrambe le fila, anche volontari esterni che hanno letteralmente formato una legione straniera, ciò che…
Read more

Leggi il contenuto originale su Mia mamma usa Linux!

Non molto tempo fa avevamo segnalato dei problemi di sicurezza emersi durante uno scan dei package presenti sul registry NPM.js, il luogo dove vengono caricate tutte le dipendenze javascript utilizzate da software scritti per girare sotto Node.js, o da numerosi framework ben diffusi sull’Internet come Angular, React.js o Vue.js. Tuttavia, tali problemi scaturivano da mancanze…
Read more

Leggi il contenuto originale su Mia mamma usa Linux!

La sicurezza è un tema molto caro a chiunque lavori nel campo dell’IT, ma per ovvi motivi dovrebbe esserlo anche per chiunque acceda ad un servizio in qualità di semplice utente. Non tutti sono completamente consci del fatto che ciò che ci rappresenta come persone, i nostri gusti, le nostre conoscenze, i nostri ricordi, vengono…
Read more

Leggi il contenuto originale su Mia mamma usa Linux!

L’ultima volta che avevamo parlato di NPM, l’azienda che sta dietro al package manager Node, utilizzatissimo dai programmatori Java, era stato per comunicare la sua acquisizione da parte di GitHub (e quindi Microsoft). Era già successo però, andando a ritroso di parlare di NPM per segnalare difetti e bug di sicurezza, l’ultimo dei quali alterava…
Read more

Leggi il contenuto originale su Mia mamma usa Linux!

GitHub ha annunciato di aver acquistato l’azienda npm inc. che produce il package manager Node, il registry npm e la CLI npm. Tutti prodotti che avrete sentito nominare se vi è mai capitato di dover portare in produzione un’applicazione che fa uso di JavaScript. L’acquisizione fa rumore, perché dice molte cose, prima fra tutte il…
Read more

Leggi il contenuto originale su Mia mamma usa Linux!

Microsoft ha siglato un accordo che segna l’acquisizione di npm. Cos’è? Cosa significa questa mossa da parte della casa di Redmond? Andiamo con ordine.

Node.js è un framework che permette di realizzare applicazioni web lato server, in Javascript, utilizzando il motore V8, che è stato realizzato da Google. Nel realizzare queste applicazioni è possibile utilizzare un gran numero di librerie Javascript già esistenti che permettono di aggiungere funzionalità in modo semplice e

Leggi il contenuto originale su Linux Freedom

GitHub ha firmato un accordo per acquisire npm, il gestore di pacchetti per il linguaggio di programmazione JavaScript.
Il lavoro del team di npm negli ultimi 10 anni e il contributo di migliaia di sviluppatori e manutentori open source che hanno aiutato JavaScript a diventare il più grande ecosistema di sviluppatori al mondo.
GitHub fa sapere che npm resterà, ovviamente, sempre gratuito e open source. L'obiettivo successivo a questo accordo sarà:

• Investire nell'infrastruttura per garantire

Leggi il contenuto originale su Marco's Box

Supponiamo che dobbiate installare alcuni pacchetti disponibili nel repository di NPM ma siete un po’ scettici circa l’autenticità o la sicurezza dei pacchetti stessi. Chiaramente nessuno si può prendere la briga di andare a controllare e analizzare a fondo tutto il codice sorgente. Per stare un po’ più tranquilli c’è un software chiamato Npq che può essere usato per installare in modo (più) sicuro i programmi usando i package managers Npm

Leggi il contenuto originale su Linux Freedom