Axios devient un cheval de troie
Faille axios, dépendances Node risquées, pourquoi privilégier fetch natif et choisir vos libs consciemment pour éviter bugs et attaques.
On y revient, encore une faille dans une dépendance node avec axios qui vient de se faire hacker par un groupe nord coréen.
Cette librairie est utilisée pour skip quelques étapes pourtant simple à faire avec fetch qui est natif.
Il y a un adage qui dit:
Ne pas réinventer la roue.
Mais je vous ai déjà parlé de ce que disait mon mentor Aïssa:
Quand tu peux faire les choses toi-même, fais-le. Etre tributaire d'une lib externe, c'est subir leur copyright et leurs failles de sécurité.
Bien sûr, il ne voulait pas qu'on refasse absolument tout, mais il y a des dépendances qui sont utilisés de manière automatique pour rien.
Il faut toujours arbitrer pourquoi on se sert ou pas d'une chose et surtout:
Comprendre ce qu'on délègue et le choisir ses dépendances consciemment.
Surtout qu'aujourd'hui accompagné de votre fidèle Claude, vous pouvez tout à fait refaire ce que vous voulez, en un rien de temps.
Donc n'utilisez pas tout ce qui traine. Et la popularité d'un module n'est en rien une excuse pour s'en servir.
Axios était très populaire, ça n'a pas empêché le pire.
La règle, c'est de se demander pourquoi avant de faire pnpm add...
Alexandre P.
Développeur passionné depuis plus de 20 ans, j'ai une appétence particulière pour les défis techniques et changer de technologie ne me fait pas froid aux yeux.
Poursuivre la lecture dans la rubrique News
