Sikker utvikling
Sist oppdatert
Det er ikke lenger nok å sikre drift av applikasjoner. Vi ser mer og mer at det er miljøet man utvikler i, eller løsningen man bruker for å bygge applikasjoner, som blir angrepet.
Noen tips for å sikre deg som utvikler
Sørg for at GitHub SSH-nøkler er sikret
Vanligvis brukes SSH for GitHub-autentisering ved hjelp av en SSH-nøkkel som ligger på disk. En GitHub SSH-nøkkel har tilgang til alle dine repoer, og det finnes ingen god måte å ha forskjellige nøkler til forskjellige repoer og/eller organisasjoner på uten å ha flere GitHub-brukere. Dersom noen får tak i denne nøkkelen, er det viktig at den har et ekstra lag med sikkerhet. Som et minimum bør den være beskyttet med et passord. Enda bedre er det om man lagrer nøkkelen i en credential manager som lar deg bruke biometri, som for eksempel 1Password, eller har en nøkkel som er beskyttet med en fysisk hardware key, som for eksempel YubiKey.
Hold igjen avhengigheter
Legg opp til å ikke hente avhengigheter med en gang en ny versjon lanseres. Ved å la det gå noen dager er det mindre sjanse for at du henter inn ondsinnet kode som ikke er oppdaget ennå. Mange økosystemer, som for eksempel NPM, støtter dette.
Vær varsom med NPM
Unngå å kjøre script under installering av pakker. Som standard kan alle NPM-pakker og deres avhengigheter kjøre script før, under og etter installasjon. Dette vil endre seg i NPM 12, men frem til da må man aktivt slå av muligheten pakker har til å kjøre script.