npm 用淘宝源替换官方源，会不会有资安问题啊？

都用资安了当然有。

不懂就问，“资安问题”是台湾地区常用的说法吗？
搜了半天出来的结果没啥简体中文的, Google 翻译出来是 Information security issues

这点流量能省多少，普通的富强流量 1TB 十块钱都不到。

为什么要 “夹带私货” ？
需要考虑的问题是镜像里面的数据可能有延迟，版本对不上之类的。

你不会查 md5 吗？

@wudicgi 您这一提，资安是台湾的说法，经常看相关资讯，不自觉的用上了。。 。。。

@dlsflh 别闹啊大哥，很严肃的在问。也有可能不会有资安问题。如果它像 debian 的 apt 一样，无论从哪里下载的包，都要在本地来签名验证，就不存在第三方镜像和官方镜像不一样的问题。因为修改后会验证不通过进而不安装。

最多是版本落后于官方，但一定是从官方原版镜像的。因为作了个修改，本地验证就不可能通过。因为本地验证用的证书是官方的。

其实，我觉得大概率 npm 也是这种验证机制。但不完全确定，就问问啊。

@iqoo 这是自建的吧，我用的机场的。。。 。。。真的挻贵的。自建我也有，被封了套 cdn 呢，那速度。。。 。。。

@dfkjgklfdjg 关于为什么要夹带私货，因为搜集信息是有价值的，你看看安卓上那些国产毒瘤，因为安卓版本迭代限制越来越严现在是好一些了，以前简直丧心病狂。虽然我这也没什么怕他注意的，但是本身有些抵触这样的行为 。

镜像源不放心的话，应该只能自己对比 md5 签名

我觉得，与其担心镜像源「带毒」，不如担心使用的 npm 包本身是否安全，这几年出了不少事情了。

@t
@RRRSSS 明白了，谢谢您的回复。

@lhx888 思考些其他的更有价值.

@lhx888 9 元 4T 的机场也有，能到 300Mbps

镜像都是校队 MD5 的，你改了包 MD5 就对应不上了，你这被害妄想症太严重了
另外 NPM 仓库鱼龙混杂，上次就有个美国人在上面投了一堆，桌面都会多一个 txt ，NPM 仓库也是挖矿病毒的重灾之地，与其担心被夹带私活，不如多关心一下自己都导入哪些依赖，是否有大厂靠背等
https://juejin.cn/post/7075510289189322759

@dawei211 思考了，那就是我需要好好的学一下英语，因为查官方文档一定能得到答案，可惜英语不过关

@lhx888 #9 ，收集信息并不是夹带私货吧，收集信息你是没办法感知的，就算镜像源不收集你信息运营商之类的也可以收集你信息去坐，真的要担心这个真的不如肉身翻墙。
如果是真·夹带私货，在包内给你做小动作吗。就是自断后路了谁还会用。与其怀疑这种公益项目，不如找一个你认为靠谱的镜像去做赞助。

-----
另外现在直连 npm 官方源也不会很慢，我都懒得换源了，直接用官方源。特别是之前遇到过镜像源版本落后编译失败的情况。

@totoro52 您说的有道理，学到了。校对 md5 是默认打开，安装软件的时候 npm 主动进行的吗？打比方，npm install 一些东西，不需要我人工进行校对，电脑自己就把这事做了。

@lhx888 软件这东西,信任边界很重要,信任边界太窄,害人害己

上次有个包篡改 Onedrive 文件夹

@dfkjgklfdjg 夹带一私货就是进行修改加后门等别人安装，安装之后就有了后门，然后就可就通过这个后门对设备进行控制，或者主动上传信息啊。
收集信息不是无法感知，而是不容易感知，对文件 IO 监测，流量监测，也能发现点蛛丝马迹。
肉身翻墙太难了，希望你说的不是走线哈哈。