если приложение нужно доставлять в docker-образе и оно юзает bcrypt библиотеку, та которая из npm, то не удастся как базовый образ использовать node-alpine или node-slim без установки в образ дополнительных библиотек для сборки этого пакета, возможно кого-то это не устраивает

Вот чтобы кто-то использовал контейнер ноду совсем чистую - и ничего ничего из библиотек и npm - это наверно очень маловероятно.. И практически все используют готовые криптобиблиотеки типа Botan, Openssl. Bcrypt - он на openssl.

npm идет в любом образе ноды, так как это по сути зависимость самой ноды, а вот насчет сторонних библиотек могут быть разные требования, все-таки приятнее когда у тебя собраный image  весит 80мб вместо 900

если приложение нужно доставлять в docker-образе и оно юзает bcrypt библиотеку, та которая из npm, то не удастся как базовый образ использовать node-alpine или node-slim без установки в образ дополнительных библиотек для сборки этого пакета, возможно кого-то это не устраивает

интересно сколько людей не разбирающихся в этом вопросе нажмут любую кнопку, чтобы просто увидеть результаты ))

и сколько таких, кто думает, что раз база утекла, то при этом перец не утек. Он типа каким-то волшебным образм неуязвим

ну даже если хранить его просто хардкодом в config.js, никакая SQL-инъекция его не увидит

так обычно же берется node-alpine, ставятся нужные библиотеки, а потом удаляется лишнее?

да, хорошее замечание, можно юзать многоуровневые сборки, правда по наблюдениям многие про них не знают

есть сборки ноды без npm и даже в пакетных менеджерах многих дистрибутивов ос нет npm, вот в debian, arch нужно npm отдельно ставить

почему в первом случае нельзя к каждой соли подмешивать секретную часть, которая не хранится в базе?

но при этом знают про node-slim? Это очень вряд ли.

Это вопрос скорее философский - чем технический. Потому как все очень зависит от того насколько ценна информация которую атакующий  может получить в результате атаки. А значит - какие ресурсы он готов потратить на то чтобы получить из шифра - реальные пароли. Также можно представить что атакующий вместе с базой паролей получил еще и перец :)? Обычно "система" копрометируется вся сразу и вы не будете ждать чтобы проверить "утекла" ли у вас только база или база и "перец".  Можно конечно предположить что у вас перец в HSM храниться. Но это врядли :)

а вы точно не путаете шифр и хеш?)

Что касается соли и bcrypt. Маленький ликбез - Bcrypt основан на blowfish - это симметричный алгоритм шифрования. Это важно. Расшифровать симметричный алгоритм крайне тяжело (в природе не зафиксированно криптоанализа против blowfish). Но есть одно но - в bcrypt мы шифруем всегда одну и туже фразу "OrpheanBeholderScryDoubt" ... с помощью вашего пароля. Сам по себе blowfish это блоковый ECB шифр. У ECB шифров есть особенность: один и тотже текст зашифрованный с помощью одного и тогоже ключа будет каждый раз давать один и тотже шифрованный такст. Это важно! Чтобы этого не произошло мы к паролю добавляем псевдослучайную последовательность "соль". Тогда два пользователя с одинаковыми паролями которыми шифруют всегда одну и туже фразу будут иметь разные шифрованные тексты (или как их называют плохие дядьки  - хеши). Кроме того соль защищает нас от атак по словарю  типа rainbow. Это когда мы заранее шифруем кучу всего а потом просто сравниваем шифры с шифрами в вашей базе данных. И да ! Никаких атак на расшифровку против blowfish мне неведомы. Только брутфорс всемогущий.