npm 用淘宝源替换官方源，会不会有资安问题啊？

@dawei211 您说的对，国产的一些软件，有些不得不用，比如大厂的即时通讯和移动支付，google play 有我就安 play 版的，没有就 shelter 沙盒里运行。 信任边界窄 真的是害人也害已，因为在乎的人需要付出一些成本，才能放弃或使用到那些软件的功能。

当然有可能，没记错的话 npm 的源是没有额外校验途径的，服务器返回啥就是啥。

@magicdawn 那也许会有，之前不是坐实什么讯公司的游戏会扫 firefox 的访问历史记录吗。新闻可以搜到的。 这不是很离谱的行为吗？一个游戏为什么想知道我访问了哪些网站。。。 。。。 后来闹大了，x 讯公司的解释是反外挂。。。 。。。真的无法相信它的解释

@ysc3839 如果 npm 不会主动校验，那开梯子好了。信任没有绝对，只能选择相信相对可信的。

资安是啥？？？？？
上 NPM 的包还有投毒呢

npm 只会在 lock 文件中留第一次安装时的镜像对应的 hash ，后续切换镜像安装 hash 对不上会失败。但如果第一次就是淘宝源（极端假设它是不可信的），那么你本的存的 hash 就是错的，无法发现安全问题

@lhx888 没用的. 校对用到的 md5 数据, 也是存在淘宝源里的. 如果包都给你改了, 难道会傻到不去改一下 md5 数据么?

我也担心 pip 或者 npm 的包直接把我小狐狸存私钥的文件给上传了。。。

好像 package-lock.json 就是干这事的吧。实在不放心，就在首次开发的时候挂代理用 npmjs.org 的源下载依赖并保存 lock 文件，后续换别的源如果 sha 对不上，npm i 会报错的，就能发现是源有问题

这个问题你看下腾讯的会不会用淘宝源就知道了呀

反正我是不敢用过没源，坑多

既然担心那就别换，直接设置 npm 的 proxy 不就好了。

你需要下的 npm 包那么多，你如何保证 npm 里下的包就一定不会夹带私货呢？

所以前面一大堆回复都没人查官方文档吗，还是周末大佬不是加班就出去玩了，v2 的平均技术在我眼中断崖式下跌。。。

楼主考虑的是代理 /镜像导致的中间人攻击问题，npm 使用的是类似 debian 之类的软件包签名来解决的：

Signing and verifying published packages protects against an attacker controlling a registry mirror or proxy where they attempt to intercept and tamper with the package tarball content.

链接：
https://docs.npmjs.com/about-registry-signatures
https://docs.npmjs.com/verifying-registry-signatures

要了解实现细节，比如默认是否验证签名，验证签名失败会怎么样（会不会依然允许安装，会不会被用户忽视），是否存在例外情况等等，需要读 npm 的源码，反正是开源的。

有两种说法，分别是：

除了敌人就是朋友

除了朋友都是敌人

很显然信息安全里面我们应该遵循后者

然后怎么判断是敌人还是朋友，这就很简单了

只要有任何不可信任的背景，那就不能当做朋友

既然不是朋友，那么就只能是敌人

免费提供的一个便利的产品 竟然还要揣测别人不坏好意 你的心真的坏

@totoro52 #14 改完以后也可以重新生成 md5 ，因为 md5 也是从镜像站拿来的。。。

@woshipanghu

你不去百度公关部门上班真是可惜了

「李彦宏给你免费用搜索引擎，你还揣测别人偷你隐私，你的心真坏」

@woshipanghu 你的逻辑 1：免费的就一定是好心的，所以不需要质疑。逻辑 2：免费的就不可以质疑，质疑就是坏。。。 。。。

@CLMan 想起了那篇 Reflections on Trusting Trust

国内产品都不可靠都有问题，最好中文能不用就不用。殖人，还是应润尽润吧！待着国内太不安全了。