บริษัทวิจัยความปลอดภัย Aqua Security เก็บสถิติแพ็กเกจยอดนิยมบน npm จำนวน 50,000 รายการแรกมาวิเคราะห์ แล้วพบว่าแพ็กเกจสัดส่วน 8.2% มีสถานะเป็นล้าสมัย (deprecated) อย่างเป็นทางการแล้ว (หมายถึงนักพัฒนาเจ้าของแพ็กเกจนั้นประกาศ deprecated อย่างชัดเจน)

อย่างไรก็ตาม ถ้านับแพ็กเกจอื่นที่อาจไม่ deprecated อย่างเป็นทางการ แต่มีสถานะคล้ายๆ กัน เช่น ตัว repository ทั้งอันบน GitHub ถูกปรับเป็น archived ไม่ใช้งานแล้ว, ตัว repository ถูกลบออกจาก GitHub แต่แพ็กเกจยังอยู่ใน npm, แพ็กเกจไม่ได้มีลิงก์ไปยัง repository ต้นทางด้วย สัดส่วนแพ็กเกจที่ล้าสมัย-ใช้งานไม่ได้จะเพิ่มเป็น 21% หรือราว 1/5 ของแพ็กเกจทั้งหมดเลยทีเดียว

Aqua Security บอกว่าแพ็กเกจที่ล้าสมัยเหล่านี้มีความเสี่ยงด้านความปลอดภัย เพราะนักพัฒนาไม่อุดรูรั่วให้อีกแล้ว แม้มีคนค้นพบช่องโหว่แล้วแจ้งไปก็ตาม ทางออกขององค์กรจึงควรกำหนดนโยบายว่าแพ็กเกจใดบ้างที่ไม่ควรใช้งานอีกต่อไป และ Aqua Security เองก็ออกเครื่องมือ Dependency Deprecation Checker มาช่วยตรวจสอบแพ็กเกจให้ด้วย

ปัญหาเรื่องช่องโหว่ของแพ็กเกจบน npm เป็นเรื่องที่ถูกพูดถึงมากขึ้นเรื่อยๆ ในช่วงหลัง โดยต้นสังกัดอย่าง GitHub เองก็มีมาตรการหลายอย่างมาช่วยยกระดับความปลอดภัย เช่น บังคับนักพัฒนาต้องล็อกอินแบบ 2FA เพื่อป้องกันการยัดไส้มัลแวร์ลงในแพ็กเกจ

ที่มา - Aqua Security