为什么 npm pip nuget 这些包管理器不在下载冷门包(下载数量 <300k)的时候弹出提示?经常弄错包名,不仅浪费了时间还很危险,长得像热门包的假包很多有恶意代码。

41 天前
 drymonfidelia
2715 次点击
所在节点    程序员
23 条回复
weijancc
41 天前
哪里来的巨婴😅
drymonfidelia
41 天前
根据下载量好像确实不是很合理,想做坏事随便弄点肉鸡就能刷到 30 万
censujiang
41 天前
😅😄😄
lisxour
41 天前
下载量这个指标没有任何参考意义的
uni
41 天前
有恶意代码的被发现会直接被删除吧
不过供应链攻击确实是个大问题,甚至 vscode 的插件都有可能会被下马
下载量不是一个好指标,如果有更好的提醒方式就好了
Bijiabo
41 天前
可能你需要用这个指令,要求相关部门强力介入监管。以后发布 NPM 包要求实名认证,并且需要先申请软件著作权。
```sh
npm install -g 反诈中心
```
shadowyue
41 天前
去饭店点菜,你认真看下菜单呗
franktopplus
41 天前
你要对你的代码负责
june4
41 天前
你可以做一个,这功能不太适合直接放到基础工具上,写个 npm 运行包装器就行
moefishtang
41 天前
包管理器 apt 在找不到指定包名的时候会推荐相关包名
不过我觉得还是自己注意比较好
CapNemo
41 天前
感觉单纯下载量不是好指标。我建议根据名称进行搜索,如果存在下载量与当前包的比值大于一定程度的包,则要求用户再次确认。
1423
41 天前
谁来净化一下程序员圈子
zxcslove
41 天前
这个还是靠社区自发跟随的黑名单提醒比较合理
NoOneNoBody
41 天前
"我们 npm pip nuget 是需要管的"
Insolitude
40 天前
确实,返回信息提供个包简介,官网和一些相近的包名,来个 2 次确认就行了。有的时候一下子记错了,直接安装了还是挺危险的
xuanbg
40 天前
不会写代码可以不写的。真的,一个成人需要为自己的行为负责,而不是推给别人,让别人来喂你吃饭
Tidal
40 天前
@Bijiabo 再加一个工信部备案与公安备案
zoumouse
40 天前
楼上为什么好多人在喷?楼主说的其实算是供应链投毒一种,确实常见、危险而且暂时没有解决方案,是个很值得讨论的问题。
drymonfidelia
40 天前
@zoumouse V 站大部分人只在意形式主义安全,习惯就好
qzydustin
39 天前
唯一的办法就是审核呗

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1077876

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX