Sikkerhed handler ikke kun om Node.js
De fleste problemer opstår i samspillet mellem kode, pakker, konfiguration, miljøvariabler, logning, deployment og rettigheder. Node.js giver værktøjerne, men disciplinen ligger i projektet.
Praktisk sikkerhed
Node.js sikkerhed
Sikkerhed i Node.js: dependencies, inputvalidering, secrets, auth, sessions, logging og driftsrutiner.
Dependencies
Hold afhængigheder få, kendte og opdaterede. Brug lockfile og automatiseret audit.
Input
Valider alt udefra. Antag ikke at JSON har den form, frontend sendte i går.
Secrets
API-nøgler og databasekoder hører hjemme i secrets management, ikke i Git.