npm 用淘宝源替换官方源,会不会有资安问题啊?

2023-05-27 15:00:01 +08:00
 lhx888

因为你懂得的原因,官方源速度太慢,扶墙流量又要花钱,能省就省吧:-)

换成淘宝源倒是很快,就是怕源里出来的东西“夹带私货“。有没有这个可能啊?

7165 次点击
所在节点    程序员
70 条回复
dlsflh
2023-05-27 15:07:13 +08:00
都用资安了当然有。
wudicgi
2023-05-27 15:20:39 +08:00
不懂就问,“资安问题”是台湾地区常用的说法吗?
搜了半天出来的结果没啥简体中文的, Google 翻译出来是 Information security issues
iqoo
2023-05-27 15:28:34 +08:00
这点流量能省多少,普通的富强流量 1TB 十块钱都不到。
dfkjgklfdjg
2023-05-27 15:34:54 +08:00
为什么要 “夹带私货” ?
需要考虑的问题是镜像里面的数据可能有延迟,版本对不上之类的。
tyzandhr
2023-05-27 15:46:45 +08:00
你不会查 md5 吗?
lhx888
2023-05-27 15:47:35 +08:00
@wudicgi 您这一提,资安是台湾的说法,经常看相关资讯,不自觉的用上了。。 。。。
lhx888
2023-05-27 15:52:00 +08:00
@dlsflh 别闹啊大哥,很严肃的在问。也有可能不会有资安问题。如果它像 debian 的 apt 一样,无论从哪里下载的包,都要在本地来签名验证,就不存在第三方镜像和官方镜像不一样的问题。因为修改后会验证不通过进而不安装。

最多是版本落后于官方,但一定是从官方原版镜像的。因为作了个修改,本地验证就不可能通过。因为本地验证用的证书是官方的。

其实,我觉得大概率 npm 也是这种验证机制。但不完全确定,就问问啊。
lhx888
2023-05-27 15:54:49 +08:00
@iqoo 这是自建的吧,我用的机场的。。。 。。。真的挻贵的。自建我也有,被封了套 cdn 呢,那速度。。。 。。。
lhx888
2023-05-27 16:00:22 +08:00
@dfkjgklfdjg 关于为什么要夹带私货,因为搜集信息是有价值的,你看看安卓上那些国产毒瘤,因为安卓版本迭代限制越来越严现在是好一些了,以前简直丧心病狂。虽然我这也没什么怕他注意的,但是本身有些抵触这样的行为 。
RRRSSS
2023-05-27 16:05:53 +08:00
镜像源不放心的话,应该只能自己对比 md5 签名

我觉得,与其担心镜像源「带毒」,不如担心使用的 npm 包本身是否安全,这几年出了不少事情了。
lhx888
2023-05-27 16:09:01 +08:00
@t
@RRRSSS 明白了,谢谢您的回复。
dawei211
2023-05-27 16:13:01 +08:00
@lhx888 思考些其他的更有价值.
xmumiffy
2023-05-27 16:14:10 +08:00
@lhx888 9 元 4T 的机场也有,能到 300Mbps
totoro52
2023-05-27 16:16:09 +08:00
镜像都是校队 MD5 的,你改了包 MD5 就对应不上了,你这被害妄想症太严重了
另外 NPM 仓库鱼龙混杂,上次就有个美国人在上面投了一堆,桌面都会多一个 txt ,NPM 仓库也是挖矿病毒的重灾之地,与其担心被夹带私活,不如多关心一下自己都导入哪些依赖,是否有大厂靠背等
https://juejin.cn/post/7075510289189322759
lhx888
2023-05-27 16:17:21 +08:00
@dawei211 思考了,那就是我需要好好的学一下英语,因为查官方文档一定能得到答案,可惜英语不过关
dfkjgklfdjg
2023-05-27 16:21:49 +08:00
@lhx888 #9 ,收集信息并不是夹带私货吧,收集信息你是没办法感知的,就算镜像源不收集你信息运营商之类的也可以收集你信息去坐,真的要担心这个真的不如肉身翻墙。
如果是真·夹带私货,在包内给你做小动作吗。就是自断后路了谁还会用。与其怀疑这种公益项目,不如找一个你认为靠谱的镜像去做赞助。

-----
另外现在直连 npm 官方源也不会很慢,我都懒得换源了,直接用官方源。特别是之前遇到过镜像源版本落后编译失败的情况。
lhx888
2023-05-27 16:23:56 +08:00
@totoro52 您说的有道理,学到了。校对 md5 是默认打开,安装软件的时候 npm 主动进行的吗?打比方,npm install 一些东西,不需要我人工进行校对,电脑自己就把这事做了。
dawei211
2023-05-27 16:26:48 +08:00
@lhx888 软件这东西,信任边界很重要,信任边界太窄,害人害己
magicdawn
2023-05-27 16:30:35 +08:00
上次有个包篡改 Onedrive 文件夹
lhx888
2023-05-27 16:34:09 +08:00
@dfkjgklfdjg 夹带一私货就是进行修改加后门等别人安装,安装之后就有了后门,然后就可就通过这个后门对设备进行控制,或者主动上传信息啊。
收集信息不是无法感知,而是不容易感知,对文件 IO 监测,流量监测,也能发现点蛛丝马迹。
肉身翻墙太难了,希望你说的不是走线哈哈。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/943410

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX