Verwendung von package-lock.json zur Versionskontrolle
Versionskontrolle mit package-lock.json ermöglicht die Überprüfung, welche exakten Versionen von Dependencies installiert wurden und kann Überraschungen bei Updates vermeiden.
Originalvideo ansehen: Millions of JS devs just got penetrated by a RAT…3 Schritte
1
Stelle sicher, dass package-lock.json in Git eingecheckt ist
Überprüfe, dass package-lock.json in deinem Repository eingecheckt ist
git status | grep package-lock.jsonTipp: package-lock.json sollte IMMER mit package.json zusammen eingecheckt werden
Warnung: Wenn package-lock.json in .gitignore ist, entferne es
2
Überprüfe die Versionshistorie von Änderungen
Nutze Git-Diffs, um zu sehen, welche Dependencies wann aktualisiert wurden
git log -p --follow package-lock.json | head -100Tipp: Dies zeigt verdächtige oder unerklärliche Versionsänderungen
Warnung: Achte auf unerwartete Aktualisierungen
3
Nutze npm ci für konsistente Installations
Verwende 'npm ci' statt 'npm install' in CI/CD und Produktionsumgebungen
npm ci # Clean install - installiert exakte Versionen aus package-lock.jsonTipp: Dies verhindert unerwartete Updates
Warnung: npm install kann Versionen aktualisieren, wenn sie kompatibel sind