Qu’est-ce que npm?

le gestionnaire de paquets officiel de Node.js

Topics DevOps npm

Table des matières

Aperçu de npm Comment démarrer avec le registre npm et l’interface en ligne de commande (ILC) Principes de base de la gestion des dépendances Comment construire et publier des packages npm Quels sont les principaux défis en matière de sécurité pour npm ? Quelles sont les bonnes pratiques lors de l’utilisation de npm ? Comment JFrog s’intègre-t-il à npm ?

L’état de la chaîne d’approvisionnement logicielle en 2025

Nous avons combiné les réponses de 1400 professionnels de la sécurité, du développement et des opérations informatiques pour comprendre l’état actuel de la gestion et de la sécurité de la chaîne d’approvisionnement logicielle.

Télécharger le rapport

Définition

npm (node package manager) est le gestionnaire de paquets par défaut pour les langages de programmation populaires JavaScript et typescript, fonctionnant comme l’un des plus grands registres de logiciels en ligne au monde pour les packages de code publics et privés et fournissant le client de l’interface de ligne de commande (CLI) utilisé par les développeurs pour interagir avec ce registre afin d’automatiser le processus de découverte, d’installation, de gestion, de mise à jour et de publication des dépendances d’un projet.

Aperçu de npm

npm est fondamentalement un système en deux volets : un vaste registre en ligne et un outil en ligne de commande côté client. Il automatise le processus de gestion des modules de code réutilisables et est essentiel pour la collaboration open source et le développement à l’échelle de l’entreprise.

Les principales fonctionnalités de npm sont centrées sur l’automatisation du cycle de vie des packages. La commande npm install résout les dépendances et télécharge les packages, tandis que npm publish télécharge les nouveaux packages ou les packages mis à jour dans le registre. L’outil gère les versions pour assurer la compatibilité des dépendances et suit les informations sur les packages dans le fichier package.json du projet.

Comment démarrer avec le registre npm et l’interface en ligne de commande (ILC)

Le registre public npm sert de centre de distribution principal pour les écosystèmes JavaScript et typescript, tandis que l’ILC de npm est la passerelle directe du développeur pour accéder à ces packages et les gérer.

Le registre npm public le plus courant est https://www.npmjs.com/

Node.js et le client ILC

Puisque npm est fourni avec Node.js (le moteur d’exécution JavaScript), l’installation de Node.js installe automatiquement le client ILC de npm. Une fois installés, les développeurs peuvent gérer et accéder aux packages à partir du registre. Pour les détails de l’installation et de la configuration initiales, voir Commencer avec npm.

Installation et configuration

Le processus d’installation consiste généralement à télécharger et à exécuter le programme d’installation de Node.js pour le système d’exploitation cible, qui comprend l’ILC de npm. Après l’installation, l’ILC est disponible directement à partir de la ligne de commande. Par défaut, l’ILC télécharge les packages à partir du dépôt public de npmjs. Pour configurer un registre privé ou auto-hébergé, l’utilisateur doit mettre à jour le fichier de configuration .npmrc afin d’orienter l’ILC vers la bonne URL du registre et de gérer l’authentification, exactement comme lorsque l’ILC de npm se connecte à JFrog Artifactory via .npmrc.

Création et gestion du fichier package.json

package.json est le fichier manifeste de tous les projets Node.js. Il définit de manière centralisée des métadonnées telles que le nom du projet, sa version, sa description, son point d’entrée principal et, surtout, toutes ses dépendances. La gestion de ce fichier est essentielle pour garantir la portabilité d’un projet et sa reproduction fiable dans plusieurs environnements.

Principes de base de la gestion des dépendances

Une gestion efficace des dépendances est la pierre angulaire d’un développement JavaScript évolutif. npm offre un contrôle granulaire sur la manière dont un projet suit et consomme ses modules de code externes.

Types de dépendances

Le fichier package.json classe les dépendances en fonction de leur rôle dans le cycle de vie du projet :

  • dependencies : packages nécessaires pour que l’application fonctionne en production.
  • devDependencies : packages uniquement nécessaires au développement local, aux tests et aux builds, tels que les exécutions de tests et les linters.
  • peerDependencies : dépendances qu’une application s’attend à ce que ses consommateurs possèdent déjà. Il s’agit d’une pratique courante pour les plugins ou les add-ons.
  • optionalDependencies : dépendances que l’application tente d’utiliser si elles sont présentes, mais dont l’absence sera tolérée sans que l’installation échoue.

Versioning sémantique (SemVer)

Le versioning sémantique (SemVer) est une chaîne de version en trois parties (MAJOR.MINOR.PATCH) qui dicte la manière dont les versions sont incrémentées en fonction des changements qu’elles introduisent. Un changement de version MAJOR indique des changements d’API incompatibles, MINOR indique de nouvelles fonctionnalités rétrocompatibles, et PATCH indique des corrections de bogues rétrocompatibles. npm utilise des préfixes tels que ^1.0.4, ~1.0.4 dans package.json pour définir des plages de versions acceptables basées sur les règles SemVer.

Dérogations et résolution des conflits

Les conflits de dépendances surviennent fréquemment lorsque des packages introduisent des plages SemVer incompatibles, ce qui entraîne un arbre de dépendances complexe ou instable. Le champ overrides de npm dans package.json force explicitement le gestionnaire de paquets à utiliser une version précise pour toute dépendance du graphe, en remplaçant des sous-dépendances potentiellement problématiques. Cela permet un contrôle granulaire pour résoudre les conflits et atténuer les vulnérabilités en matière de sécurité dans les dépendances profondément imbriquées.

Le fichier package-lock.json est essentiel pour garantir des builds déterministes, car il consigne l’arbre de dépendances exact utilisé lors de la dernière installation réussie. Ce fichier répertorie les versions, les sources et les hachages SRI (Subresource Integrity) de chaque package, y compris les dépendances transitives, indépendamment des plages de version sémantique indiquées dans package.json. Lorsqu’un utilisateur ultérieur ou un processus CI/CD exécute npm install, la présence de package-lock.json force l’installation de ces versions précises, ce qui permet de contourner la résolution de la version du package et d’atténuer les problèmes de dépendance souvent causés par des exigences de version contradictoires dans le graphique de dépendance d’un grand projet.

Comment construire et publier des packages npm

Un package JavaScript est généralement un répertoire contenant un fichier package.json. Le processus de mise à disposition de ce package implique une préparation minutieuse et une publication dans un registre.

Préparation d’un package pour la distribution

La préparation permet de s’assurer qu’un package est correctement structuré pour être consommé. Il s’agit de définir les principaux points d’entrée, les environnements d’exécution prévus et toutes les métadonnées nécessaires. Un package bien préparé communique clairement son objectif, ses dépendances et ses contraintes aux autres développeurs.

Configuration des fichiers essentiels

Les fichiers essentiels à la distribution comprennent le README.md (qui documente l’utilisation et l’objectif), la LICENSE (qui définit les termes légaux pour la réutilisation) et le CHANGELOG (qui détaille l’historique des versions et les changements majeurs). Les métadonnées essentielles, telles que la version de SemVer et les informations sur l’auteur, sont définies dans le fichier package.json.

Versioning et diffusion des packages

Le versionnage des packages doit respecter les règles de SemVer. npm simplifie la gestion des versions grâce à la commande npm version, qui met automatiquement à jour le numéro de version dans package.json et crée une balise Git correspondante. Une version est officiellement exécutée en lançant npm publish après que la version a été étiquetée et livrée.

Quels sont les principaux défis en matière de sécurité pour npm ?

Le gestionnaire de paquets Node (npm) est un point central pour le développement JavaScript, ce qui en fait une cible de choix pour les compromissions de la sécurité des applications (AppSec), conduisant à des attaques sophistiquées de la chaîne d’approvisionnement. Les principaux défis en matière de sécurité découlent de l’ampleur du registre et de la confiance inhérente que les développeurs accordent aux packages.

La sécurisation des dépendances JavaScript dans la chaîne d’approvisionnement logicielle est une préoccupation essentielle en matière d’AppSec. Les principaux vecteurs d’attaque exploitent les vulnérabilités ou l’injection de codes malveillants dans le modèle de consommation des packages.

Les principaux défis de npm en matière de sécurité sont les suivants :

1. Attaques par prise de contrôle de compte et empoisonnement de packages

Les attaquants compromettent les comptes des responsables de packages de confiance (souvent par le biais d’un hameçonnage sophistiqué qui contourne la double authentification (2FA) de base) pour prendre le contrôle de leurs packages publics et injecter du code malveillant dans des bibliothèques populaires et largement utilisées. Cette attaque directe sur la source d’un logiciel est une attaque sévère de la chaîne d’approvisionnement qui compromet immédiatement les utilisateurs en aval.

Un exemple récent, en septembre 2025, a donné lieu à la plus grande attaque de l’histoire de npm basée sur la compromission du compte d’un mainteneur pour injecter des logiciels malveillants dans des bibliothèques telles que debug et chalk. Peu de temps après, l’attaque du ver « Shai-Hulud » a compromis plus de 500 packages supplémentaires en s’auto-reproduisant, en volant des informations d’identification, telles que des jetons npm et cloud, puis en se propageant automatiquement et continuellement en publiant des versions malveillantes à l’aide des comptes compromis.

Ces incidents mettent en évidence la menace extrême que représentent les informations d’identification compromises des développeurs et les charges utiles malveillantes automatisées. Cela souligne le besoin d’une analyse rigoureuse et de barrières de sécurité robustes à chaque étape de la chaîne d’approvisionnement logicielle.

2. Prolifération des dépendances et risque induit par les dépendances transitives

Une application moderne moyenne repose sur des centaines, voire des milliers de dépendances transitives (packages installés par les packages que vous avez explicitement installés). Une vulnérabilité ou un code malveillant dans n’importe quelle dépendance au sein de cette chaîne cachée est automatiquement exécuté pendant le processus de build, créant ainsi une surface d’attaque massive et opaque. Les développeurs manquent souvent de visibilité sur ce graphe de dépendance profond, ce qui rend l’évaluation manuelle des risques virtuellement impossible.

3. Scripts d’exécution malveillants et hooks de post-installation

Les packages npm peuvent contenir des scripts qui s’exécutent automatiquement pendant le processus d’installation, en particulier via des hooks de cycle de vie comme postinstall. Les attaquants tirent parti de cette fonctionnalité légitime pour exécuter du code arbitraire (par ex., récolter des variables d’environnement, voler des informations d’identification ou déployer des logiciels malveillants) dès que le développeur exécute npm install. Cela confère aux attaquants un pouvoir d’exécution sur la machine locale du développeur, ce qui peut faciliter les mouvements latéraux.

4. Typosquatting et confusion de dépendance

Le typosquatting consiste pour les attaquants à publier des packages dont les noms sont très similaires à ceux de bibliothèques populaires (par ex., react-domm au lieu de react-dom). La confusion de dépendance exploite les faiblesses de la gestion organisationnelle des packages en enregistrant un package public portant le même nom qu’un package privé. Les développeurs ou les systèmes de build automatisés peuvent accidentellement utiliser la version publique malveillante lorsqu’ils tentent de résoudre des dépendances, ce qui entraîne une grave faille de sécurité.

Quelles sont les bonnes pratiques lors de l’utilisation de npm ?

La mise en œuvre d’un ensemble solide de bonnes pratiques minimise les risques de sécurité, améliore la collaboration et renforce la fiabilité des applications Node.js tout au long du cycle de vie du développement logiciel (SDLC).

Gestion efficace des dépendances

La gestion des dépendances n’est pas passive : elle nécessite des outils proactifs. Pour garantir des builds reproductibles et limiter la surface d’attaque due aux dépendances en cascade, les équipes doivent recourir à un lockfile (package-lock.json). L’analyse de la composition logicielle (SCA) automatisée devrait être intégrée dès le début du processus afin de détecter les vulnérabilités connues et les problèmes de conformité aux licences avant même qu’un package ne soit intégré dans l’application.

Utilisation des scripts npm pour l’automatisation

Le champ scripts du fichier package.json doit être utilisé comme principal mécanisme de standardisation des tâches de build, de test et de développement au sein d’un projet. Cette cohérence est un principe fondamental de l’approche DevOps. En standardisant les commandes, les développeurs s’assurent que les tâches communes sont exécutées de manière prévisible dans tous les environnements, qu’il s’agisse de machines locales ou de serveurs d’intégration continue.

Mise à jour et sécurisation des packages

La mise à jour régulière des packages est essentielle pour la sécurité, car les nouvelles versions contiennent souvent des correctifs pour les vulnérabilités connues. Toutefois, les mises à jour doivent être contrôlées afin d’éviter les ruptures. Les équipes devraient automatiser les mises à jour dans les limites sûres de SemVer et intégrer des portes de sécurité automatisées dans leurs pipelines pour s’assurer que les dépendances nouvellement installées n’introduisent pas de vulnérabilités de haute sévérité.

Comment JFrog s’intègre-t-il à npm ?

La plateforme JFrog offre une solution robuste et centralisée qui sécurise et optimise l’utilisation et la distribution des packages npm tout au long du pipeline de développement, en étendant le contrôle de niveau entreprise à l’écosystème JavaScript, avec une intégration étendue avec les dépôts npm

La plateforme JFrog, centrée sur JFrog Artifactory fonctionne comme un dépôt d’artefacts logiciels universel. Elle fournit une source unique de vérité pour tous les artefacts binaires, y compris les packages npm. Cette plaque tournante est essentielle pour les pratiques DevOps, permettant une automatisation transparente et améliorant l’efficacité et la rapidité des processus CI/CD.

JFrog Curation répond directement aux défis de sécurité inhérents à l’énorme registre public de npm. Il analyse automatiquement les packages de logiciels open source tiers pour détecter les failles de sécurité, les logiciels malveillants et les problèmes de conformité aux licences avant qu’ils ne soient téléchargés sur le poste de travail d’un développeur ou intégrés dans une version. En s’appuyant sur un modèle de sécurité contextualisé, JFrog aide à filtrer et à bloquer les packages malveillants ou non conformes pour qu’ils n’entrent pas dans votre environnement, réduisant ainsi les risques tels que l’empoisonnement des packages, le typosquatting et l’exploitation des dépendances transitives. Un bon exemple en est l’attaque npm « Manifest Confusion », où JFrog Artifactory a protégé les dépôts locaux en indexant et en stockant chaque package en fonction de ses informations factuelles sur package.json et non pas en fonction du fichier de métadonnées manifestes.

En intégrant la gestion avancée des artefacts d’Artifactory aux capacités de sécurité de JFrog, les organisations transforment l’écosystème public volatile de npm en une chaîne d’approvisionnement logicielle fiable et conforme.

La plateforme JFrog vous permet d’adopter une approche plus proactive afin de gérer et de sécuriser les packages OSS entrant dans votre environnement de développement et de sécuriser votre chaîne d’approvisionnement JavaScript contre les dernières attaques de npm. Pour vous en convaincre, faites une visite en ligne, planifiez une démonstration personnelle ou démarrez un essai gratuit de la JFrog Curation à votre convenance.

Ressources complémentaires

Vidéo
EveryOps Matters
En savoir plus
Webinaire
DevOps 101: Introduction to CI/CD
En savoir plus
Blog
Cloud Native CI/CD: The Ultimate Checklist
En savoir plus

En savoir plus sur DevOps

JFrog Artifactory

Une solution de sécurité unifiée qui protège les artefacts logiciels contre les menaces qui ne peuvent être détectées par des outils de sécurité individuels.

Explorez JFrog Artifactory

JFrog Xray

Une solution universelle de scan de la composition des logiciels (SCA) qui offre un moyen efficace d’identifier les vulnérabilités de manière proactive.

Explorez JFrog Xray

JFrog ML

Gérez les modèles ML dans le cadre de votre chaîne d’approvisionnement logicielle sécurisée

Explorez JFrog ML

Release Fast Or Die

Start Free