CYBL’écosystème Node.js implique un grand nombre de packages. Pour le développeur Casper Beyer, la sécurité des paquets pose problème. Faute de prendre le temps d’écrire du code basique, les utilisateurs rendent toute l’architecture de leur développement vulnérable.
Langage, EDI ou plateforme… L’amélioration progressive des fonctionnalités est à la mode. Les développeurs proposent souvent des extensions ou des packages aux utilisateurs. Cette méthode allège l’outil de départ, sans sacrifier la personnalisation du service. En matière de développement logiciel, cette stratégie n’est cependant pas exempte de défauts.
Le problème des dépendances
Un package peut avoir des dépendances, c’est-à-dire fonctionner avec d’autres packages. L’imbrication de ces éléments peut ainsi favoriser la propagation d’un code malveillant. Le phénomène affecterait sérieusement l’écosystème Node.js, d’après Casper Beyer. Ce développeur JavaScript qualifie cet environnement de « chaotique et peu sûr ».
Dans un billet de blog du 30 mars dernier, Casper Beyer met en cause la sécurité des paquets. Cette solution de facilité évite aux développeurs de réécrire le même code. Cette habitude donne beaucoup de puissance à un simple module, s’alarme Casper Beyer. Les dépendances, impossibles à auditer manuellement à cause de leur nombre, sont un « non-sens » pour lui.
I just published “The Node.js Ecosystem Is Chaos” https://t.co/nbpJK3KXYl
— Casper Beyer 🧐 (@caspervonb) March 30, 2018
Se méfier des gestionnaires de paquets
Ces paquets écrits par des centaines d’auteurs anonymes enregistrent des millions de téléchargements par semaine. De nombreux projets populaires en dépendent. N’importe qui pourrait les détourner pour répandre une charge malveillante à l’occasion d’une mise à jour. Cette stratégie a déjà permis à des hackers de pratiquer le cryptojacking.
Casper Beyer prône la responsabilisation des développeurs. « Ne faites pas confiance aux gestionnaires de paquets. Chaque dépendance écrite par un développeur lambda quelque part dans le monde est un vecteur d’attaque potentiel », prévient-il. Mieux vaut se retrousser les manches. « Ecrire du code basique ne réinvente pas la roue », assure Casper Beyer.
