По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
На дворе 2018 год, почти все устройства, о которых можно подумать, подключены к сети Интернет. Что это означает? Это означает то, что у злоумышленников потенциально появляется огромное количество возможностей для того чтобы навредить, украсть или просто всячески поиздеваться. Однако давайте поговорим про то, с чем в жизни имел опыт практически каждый, у кого был компьютер и/или мобильный телефон – о вредоносном ПО и о том, какие типы вредоносного ПО существуют. В нашем списке мы приведем их общепринятое название и примеры конкретного ПО, чтобы в случае вашего интереса вы могли изучить этот вопрос глубже.
Типы вредоносов
Давайте начнем с самого безобидного типа вредоносов – т.н Adware. Это самый хитрый и самый безобидный вредонос – он просто показывает рекламу, и его, я уверен, ловило 90 процентов пользователей ПК. Попадает оно путем встраивания рекламы в бесплатное ПО и путем насильной установки рекламных компонентов при посещении скомпрометированных веб-сайтов. Очень часто для внедрения на оконечное устройство используются совсем нелегитимные методы и у Adware нет процедуры деинсталляции. Также, довольно часто Adware служит исключительно «маской» для сокрытия настоящих целей вредоносного ПО и тогда он попадает уже в другую категорию. Известные имена Adware: Ad Adserverplus, BrowseFox и прочие.
Следующим идет ПО под названием Spyware – т.е ПО, которое шпионит за вами – какие веб-сайты вы посещаете в интернете, что вы ищете, что покупаете в интернет-магазинах. Также оно может собирать любую информацию о вашей системе – что делает этот тип ПО только косвенно вредоносным. Но очень часто подобного рода программы помогают злоумышленникам со взломом – иными словами, это нечто вроде инструмента для проведения подробной разведки в тылу у врага (т.е у вас). Известные персонажи: CoolWebSearch, GO Keyboard (да-да, та самая известная клавиатура для ОС Android).
Некоторые люди, когда начали читать эту статью могли подумать – дык это же все вирусы! Не совсем так: вирусом принято называть вредоносную программу или код, который сам интегрирует себя с другим ПО и затем воспроизводит свои копии, как только зараженное ПО будет запущено. Это и является главным характеризующим признаком непосредственно вирусов – они имеют способность к самовоспроизведению. Самое страшное в вирусах – что они могут «прицепиться» буквально к любому куску кода – т.е есть вирусы атакующие файлы, есть вирусы загрузочного сектора и прочие. Также популярны макровирусы – то есть они вставляются в привычные вам документы и после их открытия происходит автоматический запуск вредоносного макроса. Впервые был замечен в мире в начале 1970х годов и с этого момента началось лавинообразное развитие, и написание вирусов превратилось в настоящую индустрию. Вирусов – миллионы, миллиарды и не имеет смыслов перечислять отдельные названия.
Черви, на мой взгляд, являются очень неприятной штукой – их можно отнести к подотряду вирусов, т.к они тоже умеют создавать копии себя повсюду – они неконтролируемо размножаются везде, куда только могут дотянуться – файлы открытые на запись, сетевые каталоги и многое другое. Их задача – размножаться и заразить все вокруг. Обычно они также имеют вирусный функционал – чтобы они могли не только распространиться, но и нанести какой-нибудь вред. Примеры - Storm Worm (с ним ваша машина становилась куском гигантского ботнета), ILOVEYOU и Morris Worm, после которого рабочие станции начинали работать очень нестабильно.
Троян – наверное, одни из самых опасных вредоносов. Название, как вы понимаете, произошло из той самой истории про троянского коня – пользователи качали безобидные файлы, и при их попадании на ПК или их запуске, они превращались в тыковки и начинали творить беспредел – удалять информацию, модифицировать файлы, помогать в создании ботнетов и так далее. Важно! Трояны не имеют возможности к саморепликации – в этом их большое отличие от вируса. Чаще всего трояны создаются для таргетированного взлома больших систем для атак с отказом в обслуживании, что для многих интернет компаний является синонимом потери прибыли. Примеры - Trojan.Winlock, Pinch.
Руткит – вредонос, который старается действовать скрытно, пока никто не видит. Один из самых сложных типов ПО для детектирования и устранения. Некоторые верят, что лучший способ борьбы с вероятным руткитом на жестком диске – полное форматирование. Используются для кражи данных, для обеспечения доступа в систему вредоносов других типов и прочие. Может работать на уровне ядра, прошивки, гипервизора, оперативной памяти и много где еще. Руткит также может отключить антивирус, замедлять систему и прочие. – то есть если вы замечаете аномалии в поведении вашей сети или вашего компьютера – это повод задуматься.
Бэкдоры – практически тоже самое что и трояны или черви, только они как бы открывают дверь аварийного выхода на вашем компьютере и могут предоставлять доступ к компьютеру для взломщика или другого типа вредоносного ПО.
Представьте себе, сколько важной информации вы вводите на вашем ПК или телефоне ежедневно – пароли, персональные данные, финансовая информация. Вам кажется, что вы в безопасности и даже пытаетесь прикрыть клавиатуру рукой. Однако, злоумышленники придумали нечто под названием кейлоггер – ПО такого типа записывает все, что вы вводите на своем компьютере и отсылает это вовне – для сбора подобной информации и для ее последующего использования в нехорошем ключе. Кейлоггеры могут использовать родители, для того, чтобы понять, что может скрывать их чадо. А могут и крупные корпорации в целях промышленного шпионажа.
В тему кейлоггеров также хорошо ложатся угонщики браузеров. Этот тип вредоносного ПО изменяет логику работы браузера: иная домашняя страница, добавление в избранное нежелательных сайтов и потенциальную кражу ваших данных во время интернет-шоппинга. Т.е вы ввели номер карты, списание произошло, но деньги вполне могут улететь к кому-то другому. Так что будьте аккуратны, особенно, если вы заметили те или иные аномалии в работе вашего браузера.
Сколько раз, когда вы серфили в Интернете вам предлагали установить антивирус или программу, которая поборет все типы вредоносного ПО? Сотни раз? Тысячи? Грустная новость в том, что чаще всего эти ссылки вели бы на скачивание будто бы хорошей программы, которая помогла бы вам выжить в этом страшном мире. Но ключевое слово – это будто бы. Практически наверняка это оказалось бы точно таким же вредоносом, или даже десятком вредоносных программ всех типов. Как известный пример – Antivirus 2010. Такие программы я называю антивирусами-жуликами.
Как многие справедливо заметят, у нас на дворе сейчас 2018 год, а совсем не 2010. И что является самым популярным вредоносом? Верно – шифровальщики. Эти файлы попадают к вам на компьютер как внешне безобидные, затем устанавливают связь с командным центром. После связи с командным центром они устраняют теневые копии, скачивают ключи шифрования и начинают просить вас отправить выкуп, иначе ваша информация навсегда останется зашифрованной. Выкуп, естественно, злоумышленники чаще всего просят в криптовалюте. Частенько, после отправки выкупа вам пришлют ключ для расшифровки данных, однако гарантий нет никаких – поэтому мой призыв: пожалуйста, не платите выкуп террористам. Шифровальщики также часто выступают как первый эшелон в атаке на вас и параллельно устанавливают другое ПО. Известные названия, о которых слышал каждый второй – WannaCry, NotPetya и др.
Заключение
Выше вы ознакомились с длинным перечнем типов вредоносного ПО, однако вы должны понять, что вредоносное ПО может с легкостью содержать признаки всех вышеописанных типов злокачественных программ и может атаковать вашу системы сразу с нескольких векторов. К сожалению, вредоносное ПО развивается и эволюционирует на ежедневном уровне, оно мутирует и пытается стать незаметным для защитных систем. Кроме того, это целая экономика, которая превышает рынок ИТ более чем вдвое. Для злоумышленников это очень простой способ заработать денег – им должно повезти всего единожды, и они могут предпринимать миллиарды попыток – у вас просто нет шансов защищать себя все время. Однако, это нужно понять и принять, и разработать некие правила с точки зрения защиты информации и действий в случае атаки, и тогда у вас получится минимизировать урон от действий злоумышленников. Предупрежден – значит вооружен.
Почитайте первую часть статьи.
Первая проблема. Два роутера работают с одной областью OSPF, и каждый роутер имеет loopback интерфейс, объявленный в OSPF. Вот вывод таблиц маршрутизации:
Как мы можем наблюдать, что роутер R1 узнал о сети 10.2.2.0/24 от роутера R2, но в таблице маршрутизации роутера R2 пусто. Что не так?
Видно, что OSPF не включен на интерфейсе loopback0 роутера R1, так что же мы тогда объявляем в сетях?
Похоже, мы объявляем сеть 10.10.1.0/24, но эта сеть не настроена ни на одном интерфейсе... Сеть 10.1.1.0/24 настроена на интерфейсе loopback0 роутера R1.
Здесь вы видите неправильно введенную команду network. Удалим ее.
R1(config)#router ospf 1
R1(config-router)#no network 10.10.1.1 0.0.0.0 area 0
R1(config-router)#network 10.1.1.0 0.0.0.255 area 0
Давайте удостоверимся, что команда network настроена правильно.
Проблема устранена! Эта проблема может показаться не серьезной, но использование неправильных сетевых операторов - это то, что происходит постоянно. Особенно если мы используем меньшие подсети (например, /27 или /28 или аналогичные), люди склонны делать ошибки с обратными маскам.
Итог урока: убедитесь, что вы настроили правильный сетевой адрес, обратную маску и область.
Видео: протокол OSPF (Open Shortest Path First) за 8 минут
Урок №2
Очередная возможная ситуация. Опять два роутера, но другая проблема. Вот таблицы маршрутизации:
В очередной раз роутер R2 не увидел сеть 10.1.1.0/24. Что интересно, что роутер R1 не имеет сети 10.1.1.0/24 в своей таблице маршрутизации как непосредственно подключенной.
Мы можем проверить, что роутер R1 использует правильную настройку команды network. Поскольку R1 даже не имеет сети в своей таблице маршрутизации, предположим, что проблема с интерфейсом.
Кажется, кто-то забыл применить команду "no shutdown" на интерфейсе.
R1(config)#interface loopback 0
R1(config-if)#no shutdown
Давайте включим интерфейс.
И теперь он появляется в таблице маршрутизации роутера R2. Итог урока: нельзя объявлять то, чего у тебя нет!
Урок №3
Новый урок! Одна область, опять два роутера... мы хотели бы иметь "full connectivity", но не работает OSPF ... вот вывод таблиц маршрутизации:
Роутер R1 не показывает никаких маршрутов OSPF, R2 показывает ... Необходимо выяснить, что не так:
Быстро взглянем на роутер R2, чтобы убедиться, что он действительно объявляет правильную сеть(и). Да это так и есть.
Вывод роутера R1 более интересен ... видно, что у него настроен distribute-list.
В этом заключается наша проблема. Давайте удалим distribute-list.
R1(config)#router ospf 1
R1(config-router)#no distribute-list 1 in
Эта команда отключит его.
Задача решена! Итог урока: знать о distribute-list, запрещающий объявление и / или установку префиксов в таблице маршрутизации.
Урок №4
Взглянем на более сложные проблемы OSPF. На изображении выше мы имеем роутер R1 и роутер R2, но на этот раз мы имеем конфигурацию OSPF с несколькими областями. Вот конфигурация OSPF этих роутеров:
Видно, что все сети были объявлены. Область 2 не связана напрямую с областью 0, поэтому была создана виртуальная связь.
Роутер R1, однако, не увидел сеть 2.2.2.0/24 от роутера R2, но роутер R2 увидел сеть 1.1.1.0/24. Лучше всего начать с виртуальной линии здесь:
Хм, это выглядит не очень хорошо. Виртуальная связь отключена. Обратите внимание на IP-адреса, которые мы видим здесь, это IP-адреса, настроенные на интерфейсах FastEthernet обоих маршрутизаторов.
Всякий раз, когда мы настраиваем виртуальное соединение, нам нужно настроить идентификатор маршрутизатора OSPF другой стороны, а не IP-адрес другой стороны!
Вот ошибка, так что давайте исправим ее.
R1(config)#router ospf 1
R1(config-router)#no area 12 virtual-link 192.168.12.2
R1(config-router)#area 12 virtual-link 2.2.2.2
R2(config)#router ospf 1
R2(config-router)#no area 12 virtual-link 192.168.12.1
R2(config-router)#area 12 virtual-link 1.1.1.1
Вот так должна выглядеть virtual-link, настроенная между идентификаторами маршрутизаторов OSPF.
Сразу после ввода правильных команд появятся данные сообщения в консоли.
Запись OSPF для сети 2.2.2.0/24 появилась.
Урок №5
Другая проблема. Те же роутеры, но появился "домен внешней маршрутизации". Это может быть другой протокол маршрутизации, такой как RIP или EIGRP, который мы будем распространять в OSPF. R2 перераспределяет сеть 2.2.2.0 / 24 в OSPF, но по какой-то причине она не отображается на R1. Чтобы было интересно, мы не будем просматривать конфигурацию OSPF на роутерах.
Нет сети 2.2.2.0/24 на роутере R1, поэтому давайте изучим роутер R2.
Как мы можем видеть, сеть находится в таблице маршрутизации роутера R2 как directly connected.
Как мы можем видеть роутер R2 был настроен для перераспределения напрямую подключенных сетей. Это должно включать сеть 2.2.2.0/24 на интерфейса loopback0.
Однако в базе данных OSPF пусто? Что может быть причиной этого? Возможно, вы помните правила различных типов областей OSPF. Давайте выясним, что это за область!
Вот и объяснение, это stub area! Stub area не допускают LSA type 5 (внешние маршруты). Мы можем либо превратить эту область в normal area или NSSA. Давайте переведем в NSSA.
R1(config)#router ospf 1
R1(config-router)#no area 12 stub
R1(config-router)#area 12 nssa
R2(config)#router ospf 1
R2(config-router)#no area 12 stub
R2(config-router)#area 12 nssa
Изменим тип области на обоих маршрутизаторах. Область NSSA допускает внешние маршруты с помощью LSA type 7.
Наша сеть 2.2.2.0 / 24 теперь в базе данных OSPF маршрутизатора R2.
Итог урока: Stub area не допускают внешних префиксов (LSA Type 5). Либо измените область на NSSA, либо прекратите перераспределение.
Урок №6
Очередная проблема. Проблема default route OSPF. На рисунке имеются роутер R1 и роутер R2, и сеть 192.168.12.0 /24 объявленная в OSPF. Loopback интерфейсы роутера R2 не объявляется в OSPF, но мы используем default route, чтобы роутер R1 мог добраться до них. Здесь представлены конфигурации OSPF:
Видно, что в выводе роутера R2 присутствует команда default-information originate для объявления default route.
Увы, но мы не видим default route на роутере R1. Будем искать неполадки в настройке. Давайте проверим роутер R2:
В таблице маршрутизации роутера R2 не виден default route. Чтобы OSPF объявлял default route, можно использовать два варианта:
Убедитесь, что у вас есть default route в routing table (невозможно объявлять то, чего нет);
Примените команду default-information originate always. Она объявит default route, даже если он не прописан.
R2(config)#ip route 0.0.0.0 0.0.0.0 null 0
Выше первый метод решения проблемы. Мы создадим default route на роутере R2. Обычно указывается default route на ISP роутере, но сейчас другого роутера нет. Мы укажем default route для интерфейса null0, и он будет внесен в routing table.
Правило работает!
R2(config)#no ip route 0.0.0.0 0.0.0.0 null 0
R2(config)#router ospf 1
R2(config-router)#default-information originate always
Итог урока: что бы объявить default route с помощью OSPF, вам нужно иметь default route в таблице маршрутизации или использовать ключевое слово "always".
Урок №7
Немного сложнее проблема... те же два роутера , все в зоне 0. Вот настройки OSPF:
Ничего особенного, все сети объявлены, и мы используем одну область.
Увы ... таблицы маршрутизации пусты! По крайней мере, никакой отсутствует информация о OSPF ... Настройки network выглядят хорошо, так что это хороший момент вникнуть поглубже в OSPF LSDB. Давайте сначала проверим идентификаторы маршрутизатора OSPF:
Здесь мы видим OSPF router ID. Если вы внимательно посмотрите на информацию выше, вы заметите что-то необычное. State full, но роутер R1 не выбрал DR / BDR, а роутер R2 выбрал роутер R1 в качестве BDR.
Мы можем использовать команду show ip ospf database router для поиска информации от определенного соседа OSPF. Роутер R1 говорит нам, adv router is not-reachable. Это плохо.
Роутер R2 также сообщает нам, что роутер R1 недоступен, и если вы посмотрите внимательно, то увидите, что он видит связь как point-to-point. Мы не видим этого в выводе на роутере R1. Это, вероятно, означает, что роутер R1 и роутер R2 используют другой тип сети OSPF, что приводит к разнице в LSDB. Это не позволит нашим роутерам устанавливать маршруты в таблицу маршрутизации!
Теперь мы кое-что выяснили. Тип сети отличается ... широковещательная передача на роутере R2 и точка-точка на роутере R1. Нам действительно удалось установить соседство OSPF с этим, но возникает разница в LSDB.
Произведем исправления.
R1(config)#interface fa0/0
R1(config-if)#ip ospf network broadcast
Изменение типа сети на роутере R1 сделает свое дело.
Наконец "О" появляется в наших таблицах маршрутизации...проблема решена!
Итог урока: убедитесь, что вы используете правильный тип сети OSPF на обоих роутерах.
Урок №8
Очередная внештатная ситуация. OSPF настроено между роутерами R1 и R2, но не все сети объявлены. Loopback интерфейсы роутера R2 перераспределяются в OSPF. Вот настройки обоих роутеров:
Мы наблюдаем команду redistribute connected на роутере R2, которая должна перераспределить сети на интерфейсах обратной связи в OSPF.
Однако здесь ничего нет ...
Обычно было бы неплохо проверить, есть ли distribute list или нет.
Ключ к решению этой проблемы - эта команда. Если вы наберете redistribute connected OSPF будет распространять только classful networks.
R2(config)#router ospf 1
R2(config-router)#redistribute connected subnets
Нам нужно добавить параметр "subnets", позволяющий заставить его выполнять redistribute subnet основных сетей.
Ну вот, наша маршрутная таблица заполнена.
Итог урока: добавьте параметр " subnets " при использовании перераспределения или перераспределяются только classful networks.
Эта статья послужит хорошим руководством по вашему любимому верному спутнику Node.js – npm.
Node.js штурмует мир с 2009 года. Сотни тысяч систем были построены с помощью Node.js, что побудило сообщество разработчиков заявить, что «JavaScript поглощает программное обеспечение».
Одним из составляющий успеха Node стал npm – его популярный диспетчер пакетов, который позволяет разработчикам JavaScript быстро и легко обмениваться полезными пакетами, такими как lodash и moment.
На момент написания этой статьи npm поспособствовал публикации более 1,3 миллионов пакетов с еженедельной загрузкой более 16 миллиардов! Эти цифры являются фантастическими для любого программного инструмента. Итак, а теперь давайте поговорим о том, что же такое npm.
Что такое NPM?
NPM, или Node Package Manager, - это диспетчер пакетов для среды выполнения JavaScript Node.js.
Он также известен как “Ninja Pumpkin Mutants", "Nonprofit Pizza Makers", а также множество других случайных имен, с которыми вы можете поэкспериментировать и, возможно, внести свой вклад в расширения npm.
NPM состоит из двух основных частей:
инструмент CLI (command-line interface – интерфейс командной строки) для публикации и загрузки пакетов
онлайн-репозиторий, в котором размещаются пакеты JavaScript.
Для более наглядного представления можно представить, что репозиторий npmjs.com – это распределительный центр, который получает пакеты товаров от продавцов (авторов пакетов npm) и распространяет их среди покупателей (пользователей пакетов npm).
Для того, чтобы облегчить данный процесс, в распределительном центре npmjs.com работает армия трудолюбивых вомбатов (CLI), которые назначаются в качестве личных помощников для каждого отдельного клиента npmjs.com. таким образом, пакеты доставляются разработчикам JavaScript следующим образом:
А процесс публикации пакеты для ваших коллег по JavaScript выглядит примерно так:
Ну и да, вомбаты не настоящие, если что, а для наглядности :)
Давайте посмотрим, как же эта армия вомбатов помогает разработчикам, которые хотят использовать пакеты JavaScript в своих проектах. Мы также будем наблюдать то, как они помогают мастерам по открытом исходному коду выпускать свои потрясающие библиотеки в свет.
package.json
Каждый проект в JavaScript – будь то Node.js или приложение браузера – может рассматриваться как пакет npm с собственной информацией о пакете и функциями package.json для описания проекта.
Можно представить, что package.json – это этикетки на коробках с npm, которые доставляет ваша армия вомбатов.
package.json создается при запуске npm init для инициализации проекта JavaScript/Node.js со следующими основными метаданными, предоставленными разработчиками:
name: имя вашей библиотеки/проекта JavaScript.
version: версия вашего проекта. Часто при разработке приложений этим полем пренебрегают, так как нет очевидной необходимости в управлении версиями библиотек с открытым исходным кодом. Но тем не менее, эта информация может пригодиться в качестве источника версии развертывания.
description: описание проекта.
license: лицензия на проект.
npm-скрипты
package.json также поддерживает scripts (скрипты), которые можно определить для запуска инструментов командной строки, установленных в локальном контексте проекта. Например, скрипты проекта npm могут выглядеть примерно так:
{
"scripts": {
"build": "tsc",
"format": "prettier --write **/*.ts",
"format-check": "prettier --check **/*.ts",
"lint": "eslint src/**/*.ts",
"pack": "ncc build",
"test": "jest",
"all": "npm run build && npm run format && npm run lint && npm run pack && npm test"
}
}
При этом eslint, prettier, ncc, jest не обязательно должны быть установлены как глобальные исполняемые файлы, а скорее даже как локальные для вашего проекта внутри node_modules/.bin/.
Недавнее введение npx позволяет запускать эти команды в области видимости проекта node_modules точно так же, как глобально установленную программу, просто добавив префикс npx ... (то есть npx prettier --write **/*.ts).
dependencies VS devDependencies
Эти двое представляют собой объекты типа «ключ-значение», где ключ – это имена библиотек npm, а значение – это их версии в семантическом формате. Ниже представлен пример шаблона действия TypeScript на GitHub:
{
"dependencies": {
"@actions/core": "^1.2.3",
"@actions/github": "^2.1.1"
},
"devDependencies": {
"@types/jest": "^25.1.4",
"@types/node": "^13.9.0",
"@typescript-eslint/parser": "^2.22.0",
"@zeit/ncc": "^0.21.1",
"eslint": "^6.8.0",
"eslint-plugin-github": "^3.4.1",
"eslint-plugin-jest": "^23.8.2",
"jest": "^25.1.0",
"jest-circus": "^25.1.0",
"js-yaml": "^3.13.1",
"prettier": "^1.19.1",
"ts-jest": "^25.2.1",
"typescript": "^3.8.3"
}
}
Эти пакеты, от которых зависит приложение, (dependencies) устанавливаются с помощью команды npm install с флагами --save и --save-dev. Они предназначены для использования в эксплуатационной среде и среде разработки/тестирования соответственно. В следующем разделе мы рассмотрим подробнее, как установить эти пакеты.
Между тем, важно понимать, что означают знаки, которые могут стоять перед семантической версией (при условии, что вы ознакомились с моделью semver major.minor.patch):
^: последний второстепенный выпуск. Например, спецификация ^1.0.4 может установить версию 1.3.0, если это последняя дополнительная версия основной серии 1.
~: последний выпуск исправления. Аналогично ^ для второстепенных выпусков – спецификация ~1.0.4 может установить версию 1.0.7, если это последняя второстепенная версия во второстепенной серии 1.0.
Все точные версии пакетов будут задокументированы в созданном файле package-lock.json.
package-lock.json
Этот файл описывает точные версии пакетов, используемых в проекте JavaScript npm. Если package.json - это общая описательная этикетка, то package-lock.json - это список ингредиентов.
И точно так же, как мы обычно не читаем список ингредиентов продукта (если только вам совсем нечем себя занять или вам действительно нужно знать состав), так и package-lock.json не предназначен для того, чтобы разработчики читали его построчно (если только вы отчаянно не пытаетесь решить проблемы из области «как это работает»).
package-lock.json обычно создается с помощью команды npm install, а также считывается нашим инструментом NPM CLI, чтобы обеспечить воспроизведение сред сборки для проекта в помощью npm ci.
Как эффективно управлять NPM в качестве «покупателя»
Учитывая тот факт, что было опубликовано 1,3 миллиона пакетов, а загрузок было 16 миллиардов, можно сделать вывод, что большинство пользователей npm используют его именно для загрузки пакетов. Поэтому стоит знать, как пользоваться этим мощным инструментом.
npm install
Это наиболее часто используемая команда при разработке приложений JavaScript/Node.js.
По умолчанию команда npm install устанавливает последнюю версию пакета со знаком версии ^. Команда npm install в контексте проекта npm загружает пакеты в папку node_modules проекта в соответствии со спецификациями package.json, обновляя версию пакета (и, в свою очередь, повторно создавая package-lock.json) везде, где это возможно, основываясь на соответствиях версии ^ и ~.
Вы можете указать глобальный флаг -g, если хотите установить пакет в глобальном контексте – вы сможете использовать его в любом месте на вашем компьютере (это обычно используется для пакетов инструментов командной строки, таких как like-server).
npm делает установку пакетов JavaScript настолько простой, что эту команду часто используют неправильно. Это приводит к тому, что npm становится предметом огромного количества шуток со стороны программистов, таких как эти:
Здесь на помощь приходит флаг --production! В предыдущем разделе мы обсудили dependencies и devDependencies, предназначенные для использования в эксплуатационной среде и среде разработки/тестирования соответственно. Этот флаг определяет то, как создаются отличительные признаки в node_modules.
Добавив этот флаг к команде npm install, мы сможем устанавливать пакеты только из dependencies, тем самым резко уменьшая размер наших модулей node_modules до необходимого для запуска и работы наших приложений.
npm ci
Итак, если команда npm install --production оптимальна для эксплуатационной среды, то существует ли команда, которая будет оптимальная для моей локальной разработки и настройки тестирования?
Ответ: npm ci.
Точно так же, как если package-lock.json еще не существует в проекте, то он генерируется всякий раз при вызове команды npm install, npm ci использует этот файл для загрузки точной версии каждого отдельного пакета, от которого зависит проект.
Именно так мы можем убедиться в том, что контекст нашего проекта остается одинаковым на любом оборудовании, будь то наши ноутбуки, которые мы используем для разработки, или среды сборки CI (Continuous Integration – непрерывная интеграция), такие как Github Actions.
npm audit
Из-за огромного количества пакетов, которые были опубликованы и могут быть легко установлены, пакеты npm уязвимы из-за недобросовестных авторов с недобрыми намерениями.
Понимая, что в экосистеме возникла проблема, организация npm.js предложила ввести команду npm audit. Она поддерживает список брешей в системе безопасности, с помощью которых разработчики могут проверять свои пакеты с помощью этой команды.
npm audit предоставляет разработчикам информацию об уязвимостях и о том, существуют ли версии с исправлениями для обновления. Например:
Если исправления доступны в следующих некритических обновлениях версии, то команду npm audit fix можно использовать для автоматического обновления версий затронутых пакетов.
Как эффективно управлять NPM в качестве «продавца»
Мы рассмотрели, как использовать инструмент NPM CLI в качестве потребителя, но что насчет его эффективного использования в качестве автора (и, возможно, становления мастером JavaScript по открытому исходному коду?)?
npm publish
Отправить пакет в распределительный центр npmjs.com очень просто – достаточно просто запустить команду npm publish. Сложность заключается в определении версии пакета, но она не относится к авторам пакетов npm.
Практическое правило согласно semver.org:
ОСНОВНАЯ (MAJOR) версия при внесении несовместимых изменений API;
ВТОРОСТЕПЕННАЯ (MINOR) версия при добавлении функциональности и сохранении совместимости;
Версия ИСПРАВЛЕНИЯ (PATCH) при исправлении ошибок и сохранении совместимости с предыдущими версиями.
Это очень важно – следовать приведенному выше правилу при публикации ваших пакетов, чтобы не нарушать чей-либо программный код, так как соответствие версий по умолчанию в npm – ^ (она же следующая второстепенная версия).