NPM 生态的病毒如何防范?

2021-11-27 16:28:08 +08:00
 Features
今天发布了自己第一个 npm 包,一个自己写的表格组件,方便拖拽合并单元格等操作
发布的过程中发现:
1.发布的包不需要经过任何审核
2.发布的包能访问和操作电脑的任何信息

感觉必然会导致病毒滋生,以后不太敢乱用 npm 包了
931 次点击
所在节点    问与答
3 条回复
paopjian
2021-11-27 17:23:08 +08:00
npm 供应链投毒,老传统了,写引用写死版本号吧.
以前还出现过作者卖号 /被盗号,发布新版本导致中毒事件呢.
甚至还有一大堆高仿名字包就等着糊涂蛋去用呢
makelove
2021-11-27 18:40:33 +08:00
可怕的是 js 的包细碎,一个普通项目用到了大量不同人的成千上万的包,只要一个被投毒。。。
imdong
2021-11-27 20:06:03 +08:00
全放进 Docker

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/818370

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX