NPM 生态的病毒如何防范？

2021-11-27 16:28:08 +08:00

Features

今天发布了自己第一个 npm 包，一个自己写的表格组件，方便拖拽合并单元格等操作
发布的过程中发现：
1.发布的包不需要经过任何审核
2.发布的包能访问和操作电脑的任何信息

感觉必然会导致病毒滋生，以后不太敢乱用 npm 包了

857 次点击

所在节点

3 条回复

paopjian

2021-11-27 17:23:08 +08:00

npm 供应链投毒,老传统了,写引用写死版本号吧.
以前还出现过作者卖号 /被盗号,发布新版本导致中毒事件呢.
甚至还有一大堆高仿名字包就等着糊涂蛋去用呢

makelove

2021-11-27 18:40:33 +08:00

可怕的是 js 的包细碎，一个普通项目用到了大量不同人的成千上万的包，只要一个被投毒。。。

imdong

2021-11-27 20:06:03 +08:00

全放进 Docker

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.