Forem: Youssef Khouidi

NPM = Far West : Il est temps d'arrêter cette folie

Youssef Khouidi — Mon, 01 Dec 2025 09:24:00 +0000

Depuis des décennies, l'écosystème JavaScript a été un espace accueillant et innovant où n'importe qui peut publier et partager du code. C'est magnifique. Cela a démocratisé le développement logiciel. Mais c'est aussi un cauchemar en matière de sécurité.

On a déjà vécu ça

Vous vous souvenez de l'époque des plugins jQuery ? Du chaos des extensions WordPress ? Des hacks CSS avec du JavaScript encodé en base64 qui infectaient l'intégralité de votre site web ? C'était censé être il y a des décennies. De l'histoire ancienne. Le mauvais vieux temps.

Et pourtant, nous voici presque en 2026, à regarder Shai-Hulud faire son deuxième comeback avec des backdoors triviales. (Et oui, je déteste les films Dune de toute façon.)

C'est embarrassant

Nous vivons à l'ère de l'IA. Nous avons des robots qui parlent, qui marchent, des voitures autonomes. Nous construisons le futur. Et pourtant, nous publions encore des packages npm qui n'ont pas été scannés pour détecter les appels réseau externes ou les exploits évidents.

C'est comme offrir de la nourriture gratuite provenant d'une source inconnue en disant "tout le monde peut l'utiliser !" sans aucun contrôle, aucune vérification, rien.

Ce n'est pas seulement embarrassant—c'est honteux.

Le problème est simple

Actuellement, n'importe qui peut publier n'importe quoi sur npm. Un package peut :

Effectuer des appels réseau externes pendant l'installation
Exécuter du code arbitraire dans les scripts de cycle de vie
Inclure des malwares obfusqués
Exfiltrer des données depuis votre pipeline CI/CD
Compromettre toute votre chaîne d'approvisionnement logicielle

Et npm va joyeusement le servir à des millions de développeurs dans le monde entier. Sans poser de questions.

La solution devrait aussi être simple

Nous avons besoin d'un système de score de sécurité—un indicateur clair affiché sur chaque package npm qui montre le résultat d'une analyse de sécurité approfondie.

Pas seulement des vérifications de CVE. Pas seulement des avertissements sur les dépendances obsolètes. Une vraie analyse de sécurité :

Ce package effectue-t-il des appels réseau pendant l'installation ?
Y a-t-il des scripts de cycle de vie suspects ?
Le code est-il obfusqué ?
Le mainteneur utilise-t-il l'authentification à deux facteurs ?
Ce package ou ses dépendances ont-ils été impliqués dans des incidents de sécurité ?

Chaque package devrait avoir un score de sécurité de 0 à 100 que les développeurs peuvent voir en un coup d'œil et que les pipelines CI/CD peuvent imposer.

J'en ai marre, alors je l'ai construit

C'est pourquoi j'ai créé npm-security-score.

C'est un système de notation de sécurité open source qui analyse les packages npm pour détecter les vraies menaces :

npm install -g npm-security-score
npm-security-score express

Vous obtenez un score de sécurité complet basé sur :

Analyse des scripts de cycle de vie (-30 points pour preinstall/postinstall suspects)
Appels réseau externes (-20 points)
Pratiques de sécurité du mainteneur (-15 points)
Détection d'obfuscation de code (-10 points)
Historique des avis de sécurité (-15 points)
Et plus encore

Scores de 90-100 ? Sûr. En dessous de 70 ? Vérification requise. En dessous de 50 ? Bloquez-le dans votre CI/CD.

Nous devrions tous avoir honte

À l'ère de l'IA et des technologies avancées, nous faisons toujours face à des attaques de chaîne d'approvisionnement évitables. Nous avons les outils. Nous avons les connaissances. Nous devons juste implémenter réellement des standards de sécurité.

Ça doit s'arrêter. Maintenant.

Le Far West de npm doit prendre fin. Nous avons besoin de :

Scanning de sécurité automatisé pour chaque package
Scores de sécurité visibles sur npmjs.com
Application des seuils de sécurité en CI/CD
Standards de sécurité pilotés par la communauté

J'en ai vraiment marre de toutes ces conneries. C'est pourquoi je mets ça en ligne :

Forkez-le. Copiez-le. Contribuez. Faites ce qu'il faut. Faisons en sorte que ça arrive.

Ayons des projets ultra-sécurisés à partir de maintenant. Le minimum doit être strict. Le standard doit être de classe mondiale.

Rejoignez le combat

→ GitHub : github.com/01tek/npm-security-score

→ Contribuez : Aidez à construire le standard de sécurité que npm mérite

→ Passez le mot : Partagez ceci avec tous les développeurs JavaScript que vous connaissez

Le Far West a besoin de shérifs. Soyons-les.

Nous sommes en 2026. Nous avons l'IA. Nous avons des robots. Nous pouvons faire mieux que ça.

NPM = Wild Wild West: It's Time to Stop the Madness

Youssef Khouidi — Sat, 29 Nov 2025 18:51:23 +0000

For decades, the JavaScript ecosystem has been a welcoming, innovative space where anyone can publish and share code. It's been beautiful. It's democratized software development. But it's also been a security nightmare.

We've Been Here Before

Remember the jQuery plugin days? The WordPress extension chaos? CSS hacks with base64-encoded JavaScript exploits that would infect your entire website? That was supposed to be decades ago. Ancient history. The bad old days.

But here we are, almost in 2026, watching Shai-Hulud get its second comeback with trivial backdoors. (And yes, I hate the Dune movies anyway.)

This Is Embarrassing

We live in an age of AI. We have talking robots, walking robots, self-driving cars. We're building the future. And yet, we're still publishing npm packages that haven't been scanned for external network calls or obvious exploits.

It's like offering free food from an unknown source and saying "everyone can use this!" with no tracking, no checking, nothing.

This isn't just embarrassing—it's shameful.

The Problem Is Simple

Right now, anyone can publish anything to npm. A package can:

Make external network calls during installation
Run arbitrary code in lifecycle scripts
Include obfuscated malware
Exfiltrate data from your CI/CD pipeline
Compromise your entire supply chain

And npm will happily serve it to millions of developers worldwide. No questions asked.

The Solution Should Be Simple Too

We need a security score system—a clear flag displayed on every npm package that shows the result of an in-depth security scan.

Not just CVE checks. Not just outdated dependency warnings. Real security analysis:

Does this package make network calls during install?
Are there suspicious lifecycle scripts?
Is the code obfuscated?
Does the maintainer use 2FA?
Has this package or its dependencies been involved in security incidents?

Every package should have a 0-100 security score that developers can see at a glance and CI/CD pipelines can enforce.

I'm Fed Up, So I Built It

That's why I created npm-security-score.

It's an open-source security scoring system that analyzes npm packages for real threats:

npm install -g npm-security-score
npm-security-score express

You get a comprehensive security score based on:

Lifecycle script analysis (-30 points for suspicious preinstall/postinstall)
External network calls (-20 points)
Maintainer security practices (-15 points)
Code obfuscation detection (-10 points)
Historical security advisories (-15 points)
And more

Scores of 90-100? Safe. Below 70? Review required. Below 50? Block it in your CI/CD.

We Should All Be Ashamed

In this age of AI and advanced technology, we're still dealing with preventable supply chain attacks. We have the tools. We have the knowledge. We just need to actually implement security standards.

This Has to Stop. Now.

The wild west of npm needs to end. We need:

Automated security scanning for every package
Visible security scores on npmjs.com
CI/CD enforcement of security thresholds
Community-driven security standards

I'm really fed up with all this bullshit. That's why I'm putting this out there:

Fork it. Copy it. Contribute. Do whatever it takes. Let's make this happen.

Let's have top-notch secure projects from now on. The minimum should be strict. The standard should be world-class.

Join the Fight

→ GitHub: github.com/01tek/npm-security-score

→ Contribute: Help build the security standard npm deserves

→ Spread the word: Share this with every JavaScript developer you know

The Wild West needs sheriffs. Let's be them.

It's 2026. We have AI. We have robots. We can do better than this.