Deno是一种替代JavaScript运行时的方案,于2020年发布。最近我注意到对它的兴趣越来越多,它具有一些吸引人的特点:
- 避免安装依赖项的需求
- 广泛支持Web标准API
- 开箱即用的TypeScript支持
- 全功能工具集
- 精细的权限检查
- 更安全的NPM包
- 高性能
其中吸引我注意的特性是精细的权限检查和更安全的NPM包的概念。软件供应链攻击在过去几年变得越来越频繁,并且引起了更多关注。在JavaScript生态系统中,NPM是一个重要的目标。我试图找到最近公开的NPM包数量,但没有成功。NPM的主页声称有1700万开发者在使用它,这个数字我一点也不感到意外。
许多恶意包和代码片段的共同特点是需要下载额外的依赖项或可执行文件。在这一点上,Deno可以发挥作用!除非经过允许,否则Deno不允许访问环境变量、操作系统、文件系统、子进程或网络。更好的是,对于其中的一些权限,您可以允许具体的访问。例如,您可以允许访问您的应用程序域名,但不允许其他访问。如果您安装了一个恶意包,它将很难下载其额外的依赖项或将数据泄漏出去。仅凭增加的安全性,Deno就成为一个有吸引力的选择,也是我目前关注的重点。
在恶意包中隐藏的加密矿工对Lambda函数的影响有限;Lambda函数执行时间很短,很难获得显著的好处。数据泄漏和来自远程源的脚本执行更可能成为问题。这两者都需要访问互联网,而使用Deno,您有可能阻止这种访问。
在AWS Lambda函数中使用Deno需要使用自定义运行时。您可以构建自己的运行时,也可以使用已经存在的运行时。如果您关注安全性,我建议保留一个现有运行时的副本,并仔细检查更新或创建自己的运行时。对于这个概念验证,我在我的AWS账户中部署了Deno的Serverless Application Repository (SAR)应用。我使用了提供的Lambda层和提供的.al2 Lambda运行时来创建我的Deno Lambda函数。我创建了一个名为index.ts的文件,其中包含一些基本的JavaScript代码,用于请求两个不同的网站并返回响应的HTTP状态码或捕获的错误。然后,我更新了函数的配置以引用导出的handler函数。
typescript
export async function handler() {
const r1 = await makeRequest('https://deno.com');
const r2 = await makeRequest('https://example.com');
return { r1, r2 };
}
async function makeRequest(url: string) {
try {
const res = await fetch(url);
return res.status;
} catch (error) {
return error;
}
}部署后,我从控制台调用了我的Lambda函数,并收到了两个HTTP 200的响应。由于自定义运行时的要求,Deno Lambda运行时默认允许所有的网络和环境变量请求。Lambda自定义运行时通过与本地主机通信并通过环境变量接收初始化信息来工作。尽管有这个默认设置,我们可以缩小Deno的权限范围并更严格地限制访问。我使用的自定义运行时允许您通过修改DENO_PERMISSIONS环境变量来指定传递给Deno运行时的权限。默认值是--allow-env --allow-net。如果Lambda函数在应用程序中不需要任何网络访问,您可以使用如--allow-env --allow-net=127.0.0.1:9001的值,以仅允许所需的Lambda Runtime API通信。对于我的概念验证,我将DENO_PERMISSIONS设置为--allow-env --allow-net=127.0.0.1:9001,deno.com,允许访问deno.com但不允许访问example.com。调用我的Lambda函数,我得到了以下结果:
json
{
"r1": 200,
"r2": {
"name": "PermissionDenied"
}
}在本地运行Deno时,您将被要求允许访问,但在Lambda函数中,当尝试未授权的访问时,将抛出错误。如果执行了一个恶意包,您可能会注意到意外的失败或日志消息,但代码的影响将受到限制。
使用这种方法需要开发人员额外付出努力,以确保考虑到所有所需的权限。如果您担心恶意包和供应链攻击,这个努力可能是值得的。到目前为止,我仅在概念验证中使用了这种方法,没有在生产环境中使用过。使用Deno这样做并不替代代码和依赖项扫描工具,但它可能成为一种及早发现问题的预警系统。
