Bun のパッケージマネージャーはインストール前にパッケージのセキュリティ脆弱性をスキャンでき、サプライチェーン攻撃と既知の脆弱性からアプリケーションを保護します。
クイックスタート
bunfig.toml でセキュリティスキャナーを設定します。
toml
[install.security]
scanner = "@acme/bun-security-scanner"設定すると、Bun は次のことを行います。
- インストール前にすべてのパッケージをスキャンします
- セキュリティ警告とアドバイザリを表示します
- 重大な脆弱性が見つかった場合、インストールをキャンセルします
- セキュリティのために自動インストールを自動的に無効にします
仕組み
セキュリティスキャナーは、bun install、bun add、およびその他のパッケージ操作中にパッケージを分析します。次のものを検出できます。
- 既知のセキュリティ脆弱性(CVE)
- 悪意のあるパッケージ
- ライセンスコンプライアンスの問題
- ...など!
セキュリティレベル
スキャナーは 2 つの重大度レベルで問題を報告します。
fatal- インストールは直ちに停止し、ゼロ以外のコードで終了しますwarn- 対話型ターミナルでは、続行するか確認を促します。CI では直ちに終了します
事前構築されたスキャナーの使用
多くのセキュリティ企業が、すぐにインストールして使用できる npm パッケージとして Bun セキュリティスキャナーを公開しています。
スキャナーのインストール
npm からセキュリティスキャナーをインストールします。
bash
bun add -d @acme/bun-security-scannerNOTE
特定のセキュリティスキャナーのパッケージ名とインストール手順については、スキャナーのドキュメントを参照してください。ほとんどの スキャナーは `bun add` でインストールされます。スキャナーの設定
インストール後、bunfig.toml で設定します。
toml
[install.security]
scanner = "@acme/bun-security-scanner"エンタープライズ設定
一部のエンタープライズスキャナーは、環境変数を介した認証および/または設定をサポートしている可能性があります。
bash
# これは例えば ~/.bashrc に入る可能性があります
export SECURITY_API_KEY="your-api-key"
# スキャナーはこれらの認証情報を自動的に使用します
bun install設定する必要のある環境変数と追加の設定が必要かどうかについては、セキュリティスキャナーのドキュメントを参照してください。
独自のスキャナーの作成
テストと CI 設定を含む完全な例については、公式テンプレートを参照してください。 github.com/oven-sh/security-scanner-template