Episode Details

Was haben die JavaScript Pakete left-pad, color, faker und cross-env gemeinsam? Alle waren in npm Package Sicherheits-Incidents involviert.

Wenn man sich die Anzahl von Javascript Abhängigkeiten bei Mittelgroßen Projekten ansieht, ist eine dreistellige Anzahl an JavaScript Paketen nicht unüblich. Das liegt primär an der überschaubaren Größe der Pakete und somit der Funktionalität. Alles nur, um Pakete verwaltbarer zu halten. Doch dieser Umstand macht das JavaScript-Ecosystem so attraktiv für Angreifer oder kann zu extremen Seiteneffekten führen. In dieser Episode sprechen wir drei npm Package Incidents durch, was es damit aufsich hatte, welche Attack-Möglichkeiten es noch gibt und wie man sich als Software Entwickler dagegen schützen kann.

Bonus: Was Bademeister, Blubberwasser und eine ASCII-Repräsentation von Uncle Sam und der amerikanischen Flagge mit JavaScript zu tun haben.

Feedback an stehtisch@engineeringkiosk.dev oder via Twitter an https://twitter.com/EngKiosk

Unsere aktuellen Werbepartner findest du auf https://engineeringkiosk.dev/partners

Links

• Film "Die Bademeister": https://www.imdb.com/title/tt0202806/
• Open Source Studien: https://t3n.de/news/wirtschaft-open-source-nutzt-5-1451923/ und https://www.bitkom.org/Presse/Presseinformation/Open-Source-ist-in-der-deutschen-Wirtschaft-angekommen 
• Media Tech Lab: https://jump.engineeringkiosk.dev/media-tech-lab 
• Buch "Working in Public: The Making and Maintenance of Open Source Software": https://www.amazon.de/Working-Public-Making-Maintenance-Software/dp/0578675862
• Auch Python und PHP sind betroffen: https://twitter.com/s0md3v/status/1529005758540808192 und https://twitter.com/s0md3v/status/1529049336268869633
• JavaScript left-pad: https://www.npmjs.com/package/left-pad
• Messaging-App Kik: https://www.kik.com/
• E-Mail-Verkehr zwsichen npm, Kik und Azer Koçulu zum left-pad Paket: https://medium.com/@mproberts/a-discussion-about-the-breaking-of-the-internet-3d4d2a83aa4d
• Statement vom npm CTO "Laurie Voss" zur Wiederherstellung des left-pads Paket: https://twitter.com/seldo/status/712414588281552900
• Zalgo Text: https://en.wikipedia.org/wiki/Zalgo_text
• Dev corrupts NPM libs 'colors' and 'faker' breaking thousands of apps: https://www.bleepingcomputer.com/news/security/dev-corrupts-npm-libs-colors-and-faker-breaking-thousands-of-apps/
• node-ipc: Open Source Maintainer Sabotages Code to Wipe Russian, Belarusian Computers:

  Listen Now