文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

使用Deno增强AWS Lambda的安全性

2024-11-30 11:00

关注

其中吸引我注意的特性是精细的权限检查和更安全的NPM包的概念。软件供应链攻击在过去几年变得越来越频繁,并且引起了更多关注。在JavaScript生态系统中,NPM是一个重要的目标。我试图找到最近公开的NPM包数量,但没有成功。NPM的主页声称有1700万开发者在使用它,这个数字我一点也不感到意外。

许多恶意包和代码片段的共同特点是需要下载额外的依赖项或可执行文件。在这一点上,Deno可以发挥作用!除非经过允许,否则Deno不允许访问环境变量、操作系统、文件系统、子进程或网络。更好的是,对于其中的一些权限,您可以允许具体的访问。例如,您可以允许访问您的应用程序域名,但不允许其他访问。如果您安装了一个恶意包,它将很难下载其额外的依赖项或将数据泄漏出去。仅凭增加的安全性,Deno就成为一个有吸引力的选择,也是我目前关注的重点。

在恶意包中隐藏的加密矿工对Lambda函数的影响有限;Lambda函数执行时间很短,很难获得显著的好处。数据泄漏和来自远程源的脚本执行更可能成为问题。这两者都需要访问互联网,而使用Deno,您有可能阻止这种访问。

在AWS Lambda函数中使用Deno需要使用自定义运行时。您可以构建自己的运行时,也可以使用已经存在的运行时。如果您关注安全性,我建议保留一个现有运行时的副本,并仔细检查更新或创建自己的运行时。对于这个概念验证,我在我的AWS账户中部署了Deno的Serverless Application Repository (SAR)应用。我使用了提供的Lambda层和提供的.al2 Lambda运行时来创建我的Deno Lambda函数。我创建了一个名为index.ts的文件,其中包含一些基本的JavaScript代码,用于请求两个不同的网站并返回响应的HTTP状态码或捕获的错误。然后,我更新了函数的配置以引用导出的handler函数。

typescript
export async function handler() {
const r1 = await makeRequest('https://deno.com');
const r2 = await makeRequest('https://example.com');
return { r1, r2 };
}
async function makeRequest(url: string) {
try {
const res = await fetch(url);
return res.status;
} catch (error) {
return error;
}
}

部署后,我从控制台调用了我的Lambda函数,并收到了两个HTTP 200的响应。由于自定义运行时的要求,Deno Lambda运行时默认允许所有的网络和环境变量请求。Lambda自定义运行时通过与本地主机通信并通过环境变量接收初始化信息来工作。尽管有这个默认设置,我们可以缩小Deno的权限范围并更严格地限制访问。我使用的自定义运行时允许您通过修改DENO_PERMISSIONS环境变量来指定传递给Deno运行时的权限。默认值是--allow-env --allow-net。如果Lambda函数在应用程序中不需要任何网络访问,您可以使用如--allow-env --allow-net=127.0.0.1:9001的值,以仅允许所需的Lambda Runtime API通信。对于我的概念验证,我将DENO_PERMISSIONS设置为--allow-env --allow-net=127.0.0.1:9001,deno.com,允许访问deno.com但不允许访问example.com。调用我的Lambda函数,我得到了以下结果:

json
{
"r1": 200,
"r2": {
"name": "PermissionDenied"
}
}

在本地运行Deno时,您将被要求允许访问,但在Lambda函数中,当尝试未授权的访问时,将抛出错误。如果执行了一个恶意包,您可能会注意到意外的失败或日志消息,但代码的影响将受到限制。

使用这种方法需要开发人员额外付出努力,以确保考虑到所有所需的权限。如果您担心恶意包和供应链攻击,这个努力可能是值得的。到目前为止,我仅在概念验证中使用了这种方法,没有在生产环境中使用过。使用Deno这样做并不替代代码和依赖项扫描工具,但它可能成为一种及早发现问题的预警系统。

来源:今日头条内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯