npm est le gestionnaire de paquets par défaut pour l'environnement d'exécution JavaScript Node.js.
| Créateur | Isaac Z. Schlueter (d) |
|---|---|
| Développé par | Isaac Z. Schlueter |
| Première version | 0.0.1[1] 13 janvier 2010 (16 ans, 153 jours) |
| Dernière version | 11.17.0 (11 juin 2026)[2] |
| Dépôt | github.com/npm/cli |
| Écrit en | JavaScript |
| Système d'exploitation | Multiplateforme (d) |
| Type |
Application-level package manager (en) Bibliothèque JavaScript |
| Licence | Artistic License 2.0 |
| Site web | https://www.npmjs.com |
npm se compose d'un client en ligne de commande, également appelé npm, et d'une base de données en ligne de paquets publics et privés payants, appelée le registre npm. Le registre est accessible via le client, et les paquets disponibles peuvent être parcourus et recherchés via le site Web de npm. Le gestionnaire de paquets et le registre sont gérés par npm, Inc.
Depuis la version 0.6.3 de Node.js, npm fait partie de l'environnement et est donc automatiquement installé par défaut[3]. npm fonctionne avec un terminal et gère les dépendances pour une application. Il permet également d'installer des applications Node.js disponibles sur le dépôt npm. En avril 2020, GitHub annonce l'acquisition de npm[4].
Histoire
modifiernpm est entièrement écrit en JavaScript et a été développé par Isaac Z. Schlueter en s'inspirant d'autres projets similaires tels que PEAR (PHP) et CPAN (Perl)[5].
Anecdotes
modifierEn 2016, Azer Koçulu a retiré son paquet très utilisé left-pad du registre npm, ce qui a eu un impact significatif sur de nombreux projets dépendant de ce paquet[6]. À la suite de cet événement, npm Inc. a modifié sa politique permettant aux développeurs de retirer leurs paquets s'ils ont moins de 24 heures. Pour les paquets plus anciens, des étapes spécifiques doivent être suivies impliquant le personnel de support de l'entreprise[7].
Un exemple notable d'un paquet NPM légitime qui a été compromis est celui de event-stream. En 2018, un attaquant a réussi à injecter du code malveillant dans ce paquet populaire en prenant le contrôle d'un des dépôts GitHub du projet. Cela a permis à l'attaquant de déployer une version malveillante de event-stream qui contenait un logiciel de minage de cryptomonnaie. Cette attaque a affecté de nombreux utilisateurs qui ont téléchargé la version compromise du paquet, mettant en évidence les risques liés à la confiance accordée aux dépendances tierces dans le développement logiciel[8],[9].
Fin 2021, la bibliothèque NPM populaire coa a été détournée pour intégrer un code malveillant destiné à voler les mots de passe des utilisateurs[10].
En janvier 2022, le mainteneur de deux paquets populaires, colors et faker, a poussé des modifications corrompant ses propres fichiers de manière délibérée, ce qui a provoqué des impressions de texte inutile dans une boucle infinie[11],[12],[13].
En mars 2022, le paquet node-ipc, téléchargé plus d'un million de fois par semaine, a commencé à effacer les machines de développeurs russes et biélorusses présumés, en protestation contre l'invasion de l'Ukraine par la Russie[14]. De la même manière, Event-source-polyfill, es5-ext, et styled-components, ont été transformés en protestware, affichant des messages pacifiques ou redirigeant les utilisateurs vers des sources d'informations sur la guerre en Ukraine[6].
Le paquet NPM e2eakarev a été publié comme un "paquet de protestation pour la Palestine", affichant un message en anglais appelant à la paix si le paquet est lancé en Israël. Ce paquet, bien qu'il ne soit pas malveillant, illustre le risque que des fonctionnalités non intentionnelles ou malveillantes passent inaperçues dans des applications largement utilisées[15].
Fin 2023, des chercheurs en cybersécurité ont identifié une vague de paquets NPM malveillants visant à exfiltrer des configurations Kubernetes et des clés SSH vers un serveur distant. Plusieurs paquets, initialement légitimes, comme hardhat-gas-report, sont devenus malveillants après des mises à jour, indiquant un vol ciblé de clés privées Ethereum. Un autre paquet, gcc-patch, prétendait être un compilateur GCC mais contenait un mineur de cryptomonnaie[16].
Nom
modifierContrairement à la croyance populaire, npm n'est pas en fait un sigle pour "Node Package Manager". Le précurseur de npm était un utilitaire bash nommé «pm», qui était le nom abrégé de «pkgmakeinst» , une fonction bash qui installait diverses choses sur diverses plateformes. Si npm devait un jour être considéré comme un sigle, ce serait comme «node pm» ou, potentiellement, «new pm»[17].
D'après l'auteur, npm n'est pas le sigle de « Node Package Manager ». Comme il le dit en plaisantant :
« Contrairement à la croyance de beaucoup, « npm » n'est en fait pas l'acronyme de « Node Package Manager ». Il s'agit d'un rétroacronyme signifiant « npm is not an acronym » (« npm n'est pas un acronyme ») (si le nom avait été ninaa, ç'aurait été un acronyme, et donc nommé de manière incorrecte)[18]. »
Il précise par la suite :
« Donc, plus sérieusement, le projet « npm » est nommé d'après son utilitaire en ligne de commande, lui-même ainsi nommé pour être facilement écrit par un programmeur droitier sur un clavier US QWERTY, finissant avec l'annulaire droit en position pour taper la touche - pour les flags et autres arguments en ligne de commande. Cet utilitaire s'écrit toujours en bas de casse, même s'il est en tête de la plupart des phrases dans lesquelles il intervient[18]. »
Toutefois, le fichier README.md inclus dans la toute première version de npm (npm-0.0.1.zip[19]) indique clairement : « The Node Package Manager ».
Syntaxe
modifierPar exemple pour une installation en environnement de développement intégré uniquement :
npm install mon_package --save-dev
Références
modifier- ↑ « v0.0.1 », sur GitHub
- ↑ « Release 11.17.0 », 11 juin 2026 (consulté le 12 juin 2026)
- ↑ https://raw.github.com/joyent/node/v0.6.3/ChangeLog
- ↑ (en-US) « npm is joining GitHub », sur The GitHub Blog, 16 mars 2020 (consulté le 28 avril 2020)
- ↑ (en) « Breaking the CommonJS standardization impasse · Issue #5132 · nodejs/node-v0.x-archive », sur GitHub (consulté le 11 janvier 2022)
- (en-US) « Third npm protestware: 'event-source-polyfill' calls Russia out », sur BleepingComputer (consulté le 29 février 2024)
- ↑ (en-US) By David Ramel et 2016 March 30, « After npm JavaScript Package Fiasco, Firm Changes Policy, Says 'We're Sorry' - », sur ADTmag (consulté le 29 février 2024)
- ↑ « npm Blog Archive: Details about the event-stream incident », sur blog.npmjs.org (consulté le 29 février 2024)
- ↑ (en-US) Lucian Constantin, « Attackers Up Their Game with Latest npm Package Compromise », sur The New Stack, 30 novembre 2018 (consulté le 29 février 2024)
- ↑ « La bibliothèque npm populaire », Developpez.com, 6 novembre 2021 (lire en ligne, consulté le 29 février 2024)
- ↑ (en-US) « Dev corrupts NPM libs 'colors' and 'faker' breaking thousands of apps », sur BleepingComputer (consulté le 11 janvier 2022)
- ↑ (en) Vish Gain, « Open source developer corrupts his own files, impacting millions », sur Silicon Republic, 10 janvier 2022 (consulté le 11 janvier 2022)
- ↑ (en-US) Dan Goodin, « Developer sabotages his own apps, then claims Aaron Swartz was murdered », sur Ars Technica, 10 janvier 2022 (consulté le 11 janvier 2022)
- ↑ (en-US) Ax Sharma, « Protestware on the rise: Why developers are sabotaging their own code », sur TechCrunch, 27 juillet 2022 (consulté le 29 février 2024)
- ↑ (en) Paul Roberts, « Protestware taps npm to call out wars in Ukraine, Gaza », sur ReversingLabs, 16 novembre 2023 (consulté le 29 février 2024)
- ↑ (en) « Fresh Wave of Malicious npm Packages Threaten Kubernetes Configs and SSH Keys », sur The Hacker News (consulté le 29 février 2024)
- ↑ npm - a JavaScript package manager, npm, 11 janvier 2022 (lire en ligne)
- « Program analysis platform. Contribute to google/shipshape development by creating an account on GitHub », sur GitHub, 9 mai 2019
- ↑ « npm/npm », sur GitHub (consulté le 28 mars 2016)
Liens externes
modifier- (en) Site web officiel
