บริษัทวิจัยความปลอดภัย Aqua Security เก็บสถิติแพ็กเกจยอดนิยมบน npm จำนวน 50,000 รายการแรกมาวิเคราะห์ แล้วพบว่าแพ็กเกจสัดส่วน 8.2% มีสถานะเป็นล้าสมัย (deprecated) อย่างเป็นทางการแล้ว (หมายถึงนักพัฒนาเจ้าของแพ็กเกจนั้นประกาศ deprecated อย่างชัดเจน)
อย่างไรก็ตาม ถ้านับแพ็กเกจอื่นที่อาจไม่ deprecated อย่างเป็นทางการ แต่มีสถานะคล้ายๆ กัน เช่น ตัว repository ทั้งอันบน GitHub ถูกปรับเป็น archived ไม่ใช้งานแล้ว, ตัว repository ถูกลบออกจาก GitHub แต่แพ็กเกจยังอยู่ใน npm, แพ็กเกจไม่ได้มีลิงก์ไปยัง repository ต้นทางด้วย สัดส่วนแพ็กเกจที่ล้าสมัย-ใช้งานไม่ได้จะเพิ่มเป็น 21% หรือราว 1/5 ของแพ็กเกจทั้งหมดเลยทีเดียว
Aqua Security บอกว่าแพ็กเกจที่ล้าสมัยเหล่านี้มีความเสี่ยงด้านความปลอดภัย เพราะนักพัฒนาไม่อุดรูรั่วให้อีกแล้ว แม้มีคนค้นพบช่องโหว่แล้วแจ้งไปก็ตาม ทางออกขององค์กรจึงควรกำหนดนโยบายว่าแพ็กเกจใดบ้างที่ไม่ควรใช้งานอีกต่อไป และ Aqua Security เองก็ออกเครื่องมือ Dependency Deprecation Checker มาช่วยตรวจสอบแพ็กเกจให้ด้วย
ปัญหาเรื่องช่องโหว่ของแพ็กเกจบน npm เป็นเรื่องที่ถูกพูดถึงมากขึ้นเรื่อยๆ ในช่วงหลัง โดยต้นสังกัดอย่าง GitHub เองก็มีมาตรการหลายอย่างมาช่วยยกระดับความปลอดภัย เช่น บังคับนักพัฒนาต้องล็อกอินแบบ 2FA เพื่อป้องกันการยัดไส้มัลแวร์ลงในแพ็กเกจ
ที่มา - Aqua Security
Comments
หนึ่งในข้อดีของระบบรวมศูนย์ ล่าแม่มดแพ็กเกจล้าสมัย/ไม่ปลอดภัยได้ง่ายกว่าระบบกระจาย
ยังไงก็ต้องอยู่กับ npm กันไปเรื่อยๆ เชื่อว่าเดี๋ยวคงต้องมีมาตรการออกมาเก็บกวาดล่ะมั้ง
..: เรื่อยไป
เมื่อก่อนติดตั้งแพ็คเกจที่ต้องการ ได้แถม dependencies มา 2-3 ตัว เดี๋ยวนี้ล่อไป 20 กว่า แถมลบทิ้งแล้วทำงานไม่ได้