人気のJSON Webトークンライブラリに脆弱性 影響範囲は
Palo Alto Networksが発見したリモートコード実行(RCE: Remote Code Execution)の脆弱性「CVE-2022-23529」は、共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)のスコア値で7.6となり、深刻度は「重要」(High)とされる。 脆弱性が存在するとされるプロダクトおよびバージョンは以下だ。 node-jsonwebtoken 8.5.1およびこれよりも前のバージョン 脆弱性が修正されたプロダクトおよびバージョンは以下だ。 node-jsonwebtoken バージョン9.0.0 同脆弱性はリモートコード実行が可能だが、実際にサイバーセキュリティ攻撃を行うのは困難だと分析される。共通脆弱性評価システムで「緊急」(Critical)に分類されていないのはそうした理由からだ。 一方、Jso
Vulnerable Visual Studio Code extensions impact over 2M Developers | Snyk
We have been witnessing an ever growing amount of supply chain security incidents in the wild. Everything from open source package managers security flaws being exploited to continuous integration systems being compromised to software artifacts being backdoored. And now, those incidents are starting to extend to the place where developers spend most of their time: their integrated development envi
Yarn:Facebook発のパッケージマネジャーはnpmに代わるスタンダードになるか
package.json互換のJavaScriptパッケージマネージャー「Yarn」を知っていますか? なぜYarnなのか? npmと比べてどこがいいのか? 使うべきなのか? 解説します。 YarnはFacebook、Google、Exponent、Tildeによって開発された新しいJavaScriptパッケージマネージャーです。公式発表に記載されているように、Yarn開発者が直面したnpmの問題解決を目的としています。 インストールパッケージの速度および一貫性が不十分である npmではパッケージがインストール時にコードを実行することを許可しているため、セキュリティー上の問題がある しかし、それほど驚かないでください。npmを完全に置き換えるわけではありません。Yarnはnpmレジストリからモジュールを取得する単なる新しいCLIクライアントで、レジストリ自体はなにも変わりません。現在でも、
普及期を終え成熟期に入った「Node.js」はこれからどうなる?-コミッターが語る現状と未来【後編】
サーバサイドJavaScriptのための環境として登場した「Node.js」は、今やクライアント環境でのJavaScriptランタイムとしてもポピュラーなものとなっています。その開発はどのようなプロセスで進められており、今後はどのような形で進化していくのでしょうか。今回、Node.jsのコミッターであるヤフーの大津繁樹氏と、「Japan Node.js Associations」の代表理事を務める、リクルートテクノロジーズの古川陽介氏に、それぞれの立場から「Node.js」の現状と未来について語っていただきました。モデレーターは、テックフィード代表取締役の白石俊平氏が務めます。本稿は2部構成の【後編】です。 (前編はこちら) フロントエンドにも広がる「Node.js」のエコシステムをどう生かす? 白石:では、このあたりから実際にNode.jsを開発現場でどのように使っていらっしゃるかについ
[NodeJS] npm install を爆速で行うyarnに入門 - YoheiM .NET
こんにちは、@yoheiMuneです。 Reactなどの案件をしているとnpm install重たいなーと思っていたら、yarnという高速なツールがあることを知りました。今日はそのyarnについてブログを書きたいと思います。 目次 yarnとは yarnとはnpmに代わる依存パッケージ管理ツールの1つで、npmに比べて非常に高速に動作します。yarnの特徴は以下の3つで表されています。 Ultra Fast ローカルPCへのキャッシュや並行ロードなどで速い Mega Secure ダウンロードしたモジュールについて、checksumを確認してからコードを実行する(改ざんされていないことを確認する) Super Reilable yarn.lockファイルなどを用いてどこでも同じ環境を構築できる 僕の React + Babel + Webpack の環境で試してみたところ、npmだと35秒
![[NodeJS] npm install を爆速で行うyarnに入門 - YoheiM .NET](https://cdn-ak-scissors.b.st-hatena.com/image/square/d4cd540a1eebf8ff9d068791aee512c6d45a5210/height=288;version=1;width=512/https%3A%2F%2Fwww.yoheim.net%2Fimage%2F493.jpg)
Node.jsのES Modulesサポートの現状確認と備え - teppeis blog
追記: 2019/04/24 本日リリースされたNode v12でESM周りの仕様が大幅に変更されました。 この記事の内容は既に古くなっているため、最新の情報は以下の公式ブログを参考にしてください。 Announcing a new — experimental-modules – Node.js Foundation – Medium 追記終了 この話を今日のNode学園で話すので、ご興味あればどうぞ。 nodejs.connpass.com (今日いくつか加筆修正しました) ECMAScript 2015で待望のES Modules(ESM)の仕様が策定されたものの実装がなかなか進まない、という話を1年前に発表した。 その後、ブラウザでのES Modules仕様が策定完了し、フラグ付きながら全主要モダンブラウザで初期実装が揃った (caniuse)。(dynamitterさん、kijt
npmjs.com で著名ソフトウェアによく似た名前のマルウェアが大量に発見された - Islands in the byte stream
Malicious packages in npm. Here’s what to do | Ivan Akulov’s blog People found malicious packages in npm that work like real ones, are named similarly real ones, but collect and send your process environment to a third-party server when you install them 訳: 悪意のあるパッケージがnpmで発見された。それらは、実際のパッケージによく似た名前で同じように動くが、パッケージのインストール時にプロセスの環境変数を外部のサーバに送信する。 発見されたパッケージの一覧は元エントリをどうぞ。このようなマルウェアである偽パッケージの一例をあげると、 ba
Node.js で発生した Hash flooding DoS とその内容について - from scratch
Node.js のセキュリティアップデート 7/11 に Node.js のセキュリティアップデートがリリースされました。 Security updates for all active release lines, July 2017 | Node.js これには複数の脆弱性が報告されており、今回はそのうちの1つの Hash flooding DoS という脆弱性が何なのか、それに対して採用された対策が何なのかについてお話します。 Hash flooding DoS (hashdos) Denial Of Service 、つまりサービス拒否攻撃の一種です。 JavaScript のオブジェクトは内部的にハッシュテーブルとして表現されています。 図はこちらから引用 ハッシュ関数は同じkeyなら同じ値を返しますが、別なkeyなら通常は別な値になります。 ハッシュテーブルのinsert, g
node の security checkをするなら nsp が便利 - from scratch
nspとは 先日たまたま会社で Vulnerability の話になって色々と Node.js だとこういうのあるんですよって言ったら知らなかった方も多かったので紹介。 nsp は node security platform の頭文字を取ったプロジェクトである。 Node Security Platform はサイト上で脆弱性を公開している。 Node.js のコアの脆弱性というよりも npm モジュールなどのモジュールの脆弱性だ。 nsp に挙げられてる脆弱性の一例 例えばこの脆弱性なんかは2017年2月11日に公開された脆弱性である。 https://nodesecurity.io/advisories/313 github.com どういう脆弱性かというと、このモジュールはJavaScript Objectをシリアライズするためのモジュールだが、そのserializeする時に関数ま
npm install scriptの脆弱性とオープンソースと信頼 - teppeis blog
先日アナウンスされた脆弱性とその周辺について、とりとめなく。 The npm Blog — Package install scripts vulnerability Vulnerability Note VU#319816 脆弱性の概要 VU#319816 によれば、今回問題になっているのはnpmの以下の性質を利用するとnpmパッケージでワーム(自己増殖力のあるマルウェア)を作れるというもの。 依存パッケージのバージョンをロックせず、semverにより範囲指定することが多い CLIで一度npmへloginすると、明示的にnpm logoutするまで認証が永続化される npm registry が中央集権型サーバーである 具体的な手法として、Chris Contoliniが PoC として pizza-party というリポジトリを公開している*1。以下のように動作する。 ワームが仕込まれ
GitHub - w3c/web-of-things-framework
This is an experimental implementation of the Web of Things Framework, including a combined HTTP and Web Sockets server, as well as a web page library for demoing access to "things" from within web page scripts. This work has been done in support of the W3C Web of Things Interest Group. A hundred billion IoT devices are expected to be deployed over the next ten years. There are many IoT platforms,
Edison 初期化からLチカまでやってみた - Qiita
Intel Edison の Breakout Board Kit を入手したので、まっさらな状態からLチカまでやってみました。 使うもの Edison http://www.intel.co.jp/content/www/jp/ja/do-it-yourself/edison.html microBのUSB 2本 LED ブレッドボード ジャンパワイヤー 2本 電子の工作員、半田ミク ファームウェアをアップデートする シリアル通信が遅いとか、コマンドの最初の文字が欠けたりするので、アップデート必須です。 フォーマットする microBのUSBで、Mac と Edison の J16 に接続すると給電が開始され、Edison が起動します。 J16にmicorBを接続 しばらくすると、Finder にマウントされるので、まずは初期化から。 ディスクユーティリティを使ってFAT32にフォーマ
「MEANスタックで始めるWebアプリ開発入門」最新記事一覧
MongoDB、Express、AngularJS、Node.jsで構成されるMEANスタックを用いたWebアプリの開発方法について紹介していく連載。 MEANスタックで始めるWebアプリ開発入門(終): AngularJSユーザーのためのAngular2超入門 MEANスタックを用いたWebアプリの開発方法について紹介していく本連載。今回は、前回カスタムディレクティブで解説しきれなかった内容と、最近リリースされたAngular2を紹介します。(2016/11/17) MEANスタックで始めるWebアプリ開発入門(10): AngularJSを使いこなすなら絶対に知っておきたいフィルタとカスタムディレクティブの基本 MEANスタックを用いたWebアプリの開発方法について紹介していく本連載。今回は、AngularJSでもよく使用する機能であるフィルタの使い方とそのカスタマイズ方法、そして、独
Visual Studio Code の中身は Electron + Monaco だった - しばやん雑記
Build 2015 のキーノートで公開された Visual Studio Code ですが、見た目がどう考えても Visual Studio Online "Monaco" だろと思ってたら、思った通り Monaco だったようです。 Visual Studio Code - Code Editing. Redefined 実行環境としては Atom Shell と言うか Electron を使っているみたいです。当然ながら中身は Monaco なので Node.js で書かれています。 インストールされたディレクトリを見ると、Chromium な DLL とか出てきます。 最近はアプリケーションも nupkg 形式で配布するようになったんですね。 基本的には Chrome のように起動時にアップデートしていくスタイルのようです。 Windows だけだと思いますが、インストールするとコ
Node.js Security Tips - RisingStack Engineering
Join 150K+ monthly readers. In-depth articles on Node.js, Microservices, Kubernetes and DevOps. 2015 October Update: we’ve published an updated & extended version of this article. Learn more about Node.jsNode.js is an asynchronous event-driven JavaScript runtime and is the most effective when building scalable network applications. Node.js is free of locks, so there's no chance to dead-lock any pr
node-gypを使ったネイティブモジュールの作成
Dapr × Kubernetes ではじめるポータブルなマイクロサービス(CloudNative Days Tokyo 2020講演資料)NTT DATA Technology & Innovation
第3回 Express.jsを使ったWebアプリケーションを構築 | gihyo.jp
はじめに 前回までは、Node.jsについての基礎的な説明からnpmによるパッケージ管理まで、紹介してきました。今回から、いよいよNode.jsを使ったWebアプリケーションを実装していきます。前々回に単純なHTTPサーバの実装についてコードとともに紹介しました。あれをみるとわかるとおり、nodeが提供するHTTPサーバの機能はプロトコルに沿ったローレベルなものになっています。例えば、リクエストが来たら、そのURLパスに従った処理を実行するために、リクエストURIの解析から実装していかなくてはなりません。そういったことが簡単に定義して処理を書けるWebアプリケーションフレームワークがnodeにも存在します。本連載では、その代表格のExpressを使って実装してみたいと思います。 Expressのインストール Express(Express.jsと表記されることが多い)は、非常に手軽にnod
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
yarnがnpmと何が違うのか試してみた - Qiita
Microsoft、「Node.js Tools for Visual Studio」v1.0のベータ版を公開
browserifyことはじめ
