Na cleachtais is fearr

Is éard atá sa treoir seo a leanas ná liosta de na cleachtais is fearr a bhailítear agus a mholaimid de ghnáth do gach úsáideoir. Ná tóg an treoir seo mar éigeantach, b'fhéidir go roghnófá cuid acu de réir do riachtanas.

Bíodh saoirse agat do chuid cleachtais is fearr a mholadh don phobal Verdaccio.

Clárlann Phríobháideach

Is féidir leat úsáideoirí a chur leis agus na húsáideoirí ar féidir leo rochtain a fháil ar na pacáistí a bhainistiú.

Moltar duit réimír a shainiú do do phacáistí príobháideacha, mar shampla local-* nó scóip @my-company/*, mar sin beidh cuma mar seo ar do chuid rudaí príobháideacha go léir: foo áitiúil. Ar an mbealach seo is féidir leat pacáistí poiblí a scaradh go soiléir ó na cinn phríobháideacha.

 packages:
   '@my-company/*':
     access: $all
     publish: $authenticated
    'local-*':
     access: $all
     publish: $authenticated
   '@*/*':
     access: $all
     publish: $authenticated
   '**':
     access: $all
     publish: $authenticated

Cuimhnigh i gcónaí, tá an t-ord rochtana ar phacáistí tábhachtach, go ndéantar pacáistí a mheaitseáil ó bhun go barr i gcónaí.

Ag baint úsáide as pacáistí poiblí ó npmjs.org

Mura bhfuil pacáiste sa stóras, déanfaidh an freastalaí iarracht é a fháil ó npmjs.org. Má tá npmjs.org síos, feidhmíonn sé pacáistí ón taisce ag ligean air nach bhfuil pacáistí ar bith eile ann. Ní íoslódálfaidh Verdaccio ach a bhfuil ag teastáil (arna iarraidh ag cliaint), agus déanfar an fhaisnéis seo a thaisceadh, mar sin má iarrann an cliant an rud céanna an dara huair is féidir é a sheirbheáil gan é a iarraidh ar npmjs.org.

Sampla:

Má éiríonn leat express@4.0.1 a iarraidh ón bhfreastalaí uair amháin, beidh tú in ann é a dhéanamh arís (lena spleáchais ar fad) am ar bith, fiú má tá npmjs.org thíos. Tabhair faoi deara nach ndéanfar express@4.0.0 a íoslódáil go dtí go mbeidh sé de dhíth ar dhuine éigin. Agus má tá npmjs.org as líne, déarfaidh an freastalaí nach bhfuil ach express@4.0.1 (cad atá sa taisce) foilsithe, ach gan aon rud eile.

Sáraigh pacáistí poiblí

Más mian leat leagan mionathraithe de phacáiste poiblí éigin foo a úsáid, is féidir leat é a fhoilsiú chuig do fhreastalaí áitiúil, mar sin nuair a dhéanann do chineál npm suiteáil foo, é Smaoinigh ar do leagan a shuiteáil.

Tá dhá rogha anseo:

1. Ba mhaith leat forc ar leith a chruthú agus stop a chur le sioncronú leis an leagan poiblí.

   Más mian leat é sin a dhéanamh, ba cheart duit do chomhad cumraíochta a mhodhnú ionas nach ndéanfaidh Verdaccio iarratais maidir leis an bpacáiste seo chuig npmjs a thuilleadh. Cuir iontráil ar leith don phacáiste seo le config.yaml agus bain npmjs ón liosta seachfhreastalaí agus atosaigh an freastalaí.

   packages:
     '@my-company/*':
       access: $all
       publish: $authenticated
       # comment it out or leave it empty
       # proxy:

   Nuair a fhoilsíonn tú do phacáiste go háitiúil, is dócha gur chóir duit tosú le teaghrán leagain níos airde ná an pacáiste reatha ionas nach mbeidh sé ag teacht salach ar an bpacáiste sin sa taisce.

2. Ba mhaith leat do leagan a úsáid go sealadach, ach filleadh ar an leagan poiblí chomh luath agus a nuashonraítear é.

   Chun coinbhleachtaí maidir le leaganacha a sheachaint, ba cheart duit iarmhír réamhscaoilte saincheaptha den chéad leagan paiste eile a úsáid. Mar shampla, má tá leagan 0.1.2 i bpacáiste poiblí, is féidir leat 0.1.3-my-temp-fix a uaslódáil.

    npm version 0.1.3-my-temp-fix
    npm publish --tag fix --registry http://localhost:4873

   Ar an mbealach seo úsáidfear do phacáiste go dtí go nuashonróidh an cothaitheoir bunaidh a phacáiste poiblí go 0.1.3.

Security

Tosaíonn slándáil i do thimpeallacht.

Léamh breise:

• 10 npm Dea-Chleachtais Slándála agus lean na céimeanna atá leagtha amach ann.
• Ionsaithe ionadaíochta npm a sheachaint
• Mearbhall Spleáchais: Cathain a Bhfuil Do Phacáistí npm Leochaileach?
• Maoluithe Praiticiúla le hAghaidh Ionsaí Mearbhall Spleáchais > Ná bíodh drogall ort ailt úsáideacha nua a cheangal anseo chun an tslándáil a fheabhsú.

Rochtain láidir pacáiste le $authenticated

De réir réamhshocraithe tá gach pacáiste a fhoilsíonn tú in Verdaccio inrochtana do gach úsáideoir. Molaimid do chlár a chosaint ó úsáideoirí seachtracha neamhúdaraithe tríd an airí access de do phacáistí a nuashonrú go $authenticated.

packages:
  '@my-company/*':
    access: $authenticated
    publish: $authenticated
  '@*/*':
    access: $authenticated
    publish: $authenticated
  '**':
    access: $authenticated
    publish: $authenticated

Ar an mbealach sin, ní féidir le duine ar bith rochtain a fháil ar do chlár ach amháin má tá siad údaraithe, agus ní thaispeánfar pacáistí príobháideacha sa chomhéadan Gréasáin.

Bain seachfhreastalaí chun slándáil ag pacáistí príobháideacha a mhéadú

Tar éis suiteáil ghlan, de réir réamhshocraithe, réiteofar gach pacáiste chuig an uplink réamhshocraithe (an chlár poiblí npmjs).

packages:
  '@*/*':
    access: $authenticated
    publish: $authenticated
    proxy: npmjs
  '**':
    access: $authenticated
    publish: $authenticated
    proxy: npmjs

Ciallaíonn sé seo, fiú má fhoilsítear pacáiste príobháideach ar nós @my-company/auth go háitiúil, breathnóidh an freastalaí suas ar an gclár poiblí. Murab é sin do rún, bain an t-airí seachfhreastalaí agus úsáid cumraíocht mar an gceann seo:

packages:
  '@my-company/*':
    access: $authenticated
    publish: $authenticated
    unpublish: $authenticated
  '@*/*':
    access: $authenticated
    publish: $authenticated
    proxy: npmjs
  '**':
    access: $authenticated
    publish: $authenticated
    proxy: npmjs

Déanfaidh sé seo íoslódáil tarbhall a sheachaint, agus cumascfaidh sé meiteashonraí ó chlárlanna seachtracha gan ghá.

Freastalaí

Naisc Daingnithe

Is moladh coitianta é HTTPS a úsáid. Ar an ábhar sin molaimid an rannán SSL a léamh chun Verdaccio a dhéanamh slán, nó mar rogha air sin úsáid a bhaint as seachfhreastalaí droim ar ais HTTPS ar bharr Verdaccio.

Comharthaí atá ag dul in éag

Ós rud é verdaccio@3.x níl aon dáta éaga ag na comharthaí. Ar an gcúis sin thugamar isteach sa chéad verdaccio@4.x an ghné JWT PR#896

security:
  api:
    jwt:
      sign:
        expiresIn: 15d
        notBefore: 0
  web:
    sign:
      expiresIn: 1h

Má úsáideann tú an chumraíocht seo sárófar an córas reatha agus beidh tú in ann cé chomh fada agus a mhairfidh an comhartha a rialú.

Trí úsáid a bhaint as JWT feabhsaítear an fheidhmíocht freisin le forlíontáin fíordheimhnithe. Déanfaidh an seanchóras díphacáistiú agus bailíochtóidh sé na dintiúir ar gach iarratas, agus beidh JWT ag brath ar an síniú comhartha ina ionad sin, ag seachaint an forchostais don bhreiseán.

Mar thaobh nóta, bí ar an eolas ag npmjs agus ní rachaidh an comhartha verdaccio legacy in éag ** ach amháin má dhéanann tú neamhbhailiú de láimh.

Teorainn Ráta

Ós rud é go bhfuil an leagan v5.4.0 cumasaithe ag críochphointí criticiúla faoi theorainn an ráta réamhshocraithe. Meastar na horduithe seo a leanas mar chríochphointí úsáideora:

• npm token gach leagan
• npm login/adduser
• npm profile gach leagan tacaithe
• Suíomh Gréasáin úsáideora /sec/login críochphointe.

Tá an liosta críochphointí roimhe seo teoranta do 100 iarratas piara 15 nóiméad ar leor é le haghaidh úsáid bhunúsach, más gá duit an leibhéal seo a mhéadú seiceáil an teorainn ráta úsáideora roghanna cumraíochta.

userRateLimit:
  windowMs: 50000 <- (minutes * 60 * 1000)
  max: 1000 (number of request peer windowMs)

Tá críochphointí an tsuímh Ghréasáin mar, cuardaigh, pacáistí, barra taoibh, agus mionsonraí cosanta de réir réamhshocraithe chuig 5,000 iarratas piaraí 2 nóiméad, is féidir a chumrú freisin trí roghanna gréasáin ui.

Molaimid na luachanna seo a shaincheapadh dóibh siúd a chuireann do riachtanais in oiriúint chun ionsaí de chineál ar bith (DDoS) nó brute-force a sheachaint chuig na críochphointí criticiúla.

Níl na críochphointí CLI API arna n-úsáid ag m. sh. npm install teoranta ag an bpointe seo mar ní mheastar go bhfuil siad ríthábhachtach, ach má fhaigheann tú aon chúis mhaith oscail plé le do thoil.