用于审核节点(Javascript)应用程序实现的工具
假设一个实质性的(MIT许可证)开源(节点)Javascript web应用程序 我想确定应用程序不会在互联网上泄露信息的信心。一种方法是阅读每一行并确保我理解它。这种详细的代码审查感觉有些过火 由于应用程序位于NAT/防火墙之后,因此可以确定实现不会启动任何远程连接。重要的是要考虑明显的直接启动连接(TCP/HTTP/HTTPS/FTP/SSH等)在源本身-和任何依赖关系…以及任何间接方式,例如,在操作过程中涉及客户端web浏览器 我并不担心应用程序是否不安全,因为它的访问控制可能会从提供访问的网络中出错。。。尽管我不反对对任何明显的缺陷进行警告 有没有工具可以让这种评估变得简单?沙箱方法可行吗?如果可行,什么方法适合创建这样的节点沙箱?也许您可以尝试一下 我没有安装它的经验,但我的工作场所使用它来检查代码质量。 它将显示哪行代码不好,并给出如何修复它的建议用于审核节点(Javascript)应用程序实现的工具,javascript,node.js,validation,security,Javascript,Node.js,Validation,Security,假设一个实质性的(MIT许可证)开源(节点)Javascript web应用程序 我想确定应用程序不会在互联网上泄露信息的信心。一种方法是阅读每一行并确保我理解它。这种详细的代码审查感觉有些过火 由于应用程序位于NAT/防火墙之后,因此可以确定实现不会启动任何远程连接。重要的是要考虑明显的直接启动连接(TCP/HTTP/HTTPS/FTP/SSH等)在源本身-和任何依赖关系…以及任何间接方式,例如,在操作过程中涉及客户端web浏览器 我并不担心应用程序是否不安全,因为它的访问控制可能会从提供访问
我记得在sonarqube中看到了一些与OWASP相关的东西,但还没有尝试过。这个问题出人意料地广泛。你似乎在问:
require()
行是一个良好的开端;它会提醒您自己的模块可能使用出站网络npm audit
对您的依赖项进行众包检查npm审计
工作,并用关于漏洞的电子邮件纠缠你nmap
定期检查服务器的开放端口。其中一个描述了这一点。对于web服务器,只有ssh和https端口才应打开以进行最安全的设置我知道库贝。。。我认为协助代码审查是有意义的。。。但是我怀疑这不是验证没有信息泄漏的正确方法。例如,一个发送详细遥测信息的库不太可能被Sonarqube视为一个安全漏洞,但这正是我所关心的。。。如果有,谢谢你有趣的回复。我承认这个问题很广泛——但是,在你认为我要问的三件事中,第一件是我真正想解决的。我一定会调查npm审计。。。虽然感觉它的目的是寻找已知的漏洞,但感觉好像我需要识别“能够远程通信的代码”-