NPM: Bitte haben Sie noch einen Augenblick Geduld, der nächste Supply-Chain-Angriff ist gleich für Sie da.

Node.js ist aus der Webentwicklung nicht mehr wegzudenken. Das zugehörige npm-Ökosystem ist seit der Enstehung explosionsartig gewachsen und bietet mehr Software-Packages als für die meisten anderen Programmiersprachen verfügbar sind. Das spart Zeit in der Entwicklung, kann aber ein großes Problem für die Sicherheit werden: Je mehr Abhängigkeiten, desto größer die Supply-Chain, desto größer das Risiko.

Aber auch ohne npm, muss beim Einsatz von Node.js einiges für einen sicheren Einsatz beachtet werden: von den JavaScript-Stolperfallen über die Tücken des asynchronen Programmiermodells bis hin zur richtigen Update- und Deploymentstrategie.

Was bereits vorgefallen ist, wie darauf reagiert wurde, und was sie beachten sollten, all das schauen wir uns in diesem Vortrag näher an.

Lernziele

• Verständnis für die Gefahren im Zusammenhang mit Paketmanagern wie NPM
  
• Vermeiden von JavaScript-Stolperfallen
  
• Suche nach einer guten Update- und Deployment-Strategie