npm 用淘宝源替换官方源,会不会有资安问题啊?

2023-05-27 15:00:01 +08:00
 lhx888

因为你懂得的原因,官方源速度太慢,扶墙流量又要花钱,能省就省吧:-)

换成淘宝源倒是很快,就是怕源里出来的东西“夹带私货“。有没有这个可能啊?

7165 次点击
所在节点    程序员
70 条回复
lhx888
2023-05-27 16:37:23 +08:00
@dawei211 您说的对,国产的一些软件,有些不得不用,比如大厂的即时通讯和移动支付,google play 有我就安 play 版的,没有就 shelter 沙盒里运行。 信任边界窄 真的是害人也害已,因为在乎的人需要付出一些成本,才能放弃或使用到那些软件的功能。
ysc3839
2023-05-27 16:38:01 +08:00
当然有可能,没记错的话 npm 的源是没有额外校验途径的,服务器返回啥就是啥。
lhx888
2023-05-27 16:40:37 +08:00
@magicdawn 那也许会有,之前不是坐实什么讯公司的游戏会扫 firefox 的访问历史记录吗。新闻可以搜到的。 这不是很离谱的行为吗?一个游戏为什么想知道我访问了哪些网站。。。 。。。 后来闹大了,x 讯公司的解释是反外挂。。。 。。。真的无法相信它的解释
lhx888
2023-05-27 16:43:58 +08:00
@ysc3839 如果 npm 不会主动校验,那开梯子好了。信任没有绝对,只能选择相信相对可信的。
SP00F
2023-05-27 16:55:08 +08:00
资安是啥?????
上 NPM 的包还有投毒呢
otakustay
2023-05-27 16:58:33 +08:00
npm 只会在 lock 文件中留第一次安装时的镜像对应的 hash ,后续切换镜像安装 hash 对不上会失败。但如果第一次就是淘宝源(极端假设它是不可信的),那么你本的存的 hash 就是错的,无法发现安全问题
bthulu
2023-05-27 17:11:23 +08:00
@lhx888 没用的. 校对用到的 md5 数据, 也是存在淘宝源里的. 如果包都给你改了, 难道会傻到不去改一下 md5 数据么?
uni
2023-05-27 17:22:53 +08:00
我也担心 pip 或者 npm 的包直接把我小狐狸存私钥的文件给上传了。。。
yunyuyuan
2023-05-27 17:41:10 +08:00
好像 package-lock.json 就是干这事的吧。实在不放心,就在首次开发的时候挂代理用 npmjs.org 的源下载依赖并保存 lock 文件,后续换别的源如果 sha 对不上,npm i 会报错的,就能发现是源有问题
lyhiving
2023-05-27 17:49:22 +08:00
这个问题你看下腾讯的会不会用淘宝源就知道了呀
estk
2023-05-27 18:10:40 +08:00
反正我是不敢用过没源,坑多
placeholder
2023-05-27 18:21:40 +08:00
既然担心那就别换,直接设置 npm 的 proxy 不就好了。

你需要下的 npm 包那么多,你如何保证 npm 里下的包就一定不会夹带私货呢?
CLMan
2023-05-27 18:40:23 +08:00
所以前面一大堆回复都没人查官方文档吗,还是周末大佬不是加班就出去玩了,v2 的平均技术在我眼中断崖式下跌。。。

楼主考虑的是代理 /镜像导致的中间人攻击问题,npm 使用的是类似 debian 之类的软件包签名来解决的:

Signing and verifying published packages protects against an attacker controlling a registry mirror or proxy where they attempt to intercept and tamper with the package tarball content.

链接:
https://docs.npmjs.com/about-registry-signatures
https://docs.npmjs.com/verifying-registry-signatures

要了解实现细节,比如默认是否验证签名,验证签名失败会怎么样(会不会依然允许安装,会不会被用户忽视),是否存在例外情况等等,需要读 npm 的源码,反正是开源的。
Mooon
2023-05-27 19:14:10 +08:00
有两种说法,分别是:

除了敌人就是朋友

除了朋友都是敌人

很显然信息安全里面我们应该遵循后者

然后怎么判断是敌人还是朋友,这就很简单了

只要有任何不可信任的背景,那就不能当做朋友

既然不是朋友,那么就只能是敌人
woshipanghu
2023-05-27 19:44:52 +08:00
免费提供的一个便利的产品 竟然还要揣测别人不坏好意 你的心真的坏
harrozze
2023-05-27 19:51:20 +08:00
@totoro52 #14 改完以后也可以重新生成 md5 ,因为 md5 也是从镜像站拿来的。。。
Mooon
2023-05-27 20:42:19 +08:00
@woshipanghu

你不去百度公关部门上班真是可惜了

「李彦宏给你免费用搜索引擎,你还揣测别人偷你隐私,你的心真坏」
lhx888
2023-05-27 21:04:46 +08:00
@woshipanghu 你的逻辑 1:免费的就一定是好心的,所以不需要质疑。逻辑 2:免费的就不可以质疑,质疑就是坏。。。 。。。
leonshaw
2023-05-27 21:18:26 +08:00
@CLMan 想起了那篇 Reflections on Trusting Trust
br9852000
2023-05-27 21:50:42 +08:00
国内产品都不可靠都有问题,最好中文能不用就不用。殖人,还是应润尽润吧!待着国内太不安全了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/943410

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX