npm 用淘宝源替换官方源，会不会有资安问题啊？

@wudicgi 大陆北方网友

@lhx888 粗略的看了一下，npm 注册表镜像的安全性是远远不如 debian 镜像仓库：

- npm 使用 `npm audit`进行包的签名检查，使用私钥签名，公钥检查，但似乎没使用证书体系（有待确认）
- npm 注册表允许私有签名（有待确认），但镜像默认不提供公钥，所以审查失败
- 执行`npm install`会触发`npm audit`，但是审查错误信息会被静默掉（只有在日志级别为 verbose 显示），不影响安装流程，直接执行`npm audit`会正常显示审查错误信息
- npmmirrors 官方推荐全局安装`cnpm`替代`npm`

说到这个，pypi 前两天把 pgp 签名支持去了，理由是没人用🤣
https://blog.pypi.org/posts/2023-05-23-removing-pgp/

@xmumiffy #13
这是哪家？

@totoro52 #14
你应该说“xxx 镜像都是校对 md5/sha1/xxxxxx”的，因为有些就是没有校对机制。

你好 会的. 阿里的 maven 仓库就把 maven 的几个插件给夹带私货了, 每次编译的时候都输出阿里云的广告

有一说一被 npm 上乱七八糟的库害的概率比被 npmmirror 害的概率大多了，后者没有现成的案例，而前者的案例一抓一大把，比如著名的 node-ipc 时间

https://developer.aliyun.com/article/877697
附链接

资安不一定是弯弯用的，很多国内的开发人员，特别是做硬件相关的，经常和弯弯工程师讨论，连打字都是用的繁体，一时切换不过来也正常。不过楼主回复中多次用到您，嘿嘿，感觉暴露了。

@lhx888 #20 ，可以通过你发起的请求来进行数据分析，这个你是无法感知的。通过客户端的后门实在太低级了，而且太容易暴雷了。肉身翻墙很容易，只要你有够钱也过了语言关，有大把的机会移民出去。走线？走线是正常人会考虑的方式吗？

我上面也提到了，如果觉得淘宝镜像有问题，就找到一个你认为靠谱的镜像源，然后有条件的话就多赞助。这才是实实在在的。
提出问题、解决问题，而不是光抱怨，减少没有必要的顾虑，生活更加乐观一点。

@SP00F 资讯安全

这年头用您也是弯弯了...不禁想起了名侦探沈逸: 有点意思

@Stoney #50 资讯安全是第一次听说……

如果要使用到开源库就无法避免安全问题的，没有模仿投毒也有官方投毒，官方不投毒，也有夹杂私货的。

用起来自己觉得 OK 或者本身公司就有安全部门审计就不用太过担心。

实在太过奇妙深刻，再挂。

@dfkjgklfdjg 不要把黑客想得太简单。最近几年供应链攻击已经出现了多起，并且影响了很多大厂

你这么一说，官网的也有问题啊

@woshipanghu 不是，这肯定是反串黑。。。不会真有人认真反驳吧

当然有这个风险，只是淘宝毕竟体量大，相当于信用背书了。
大部分大厂都有自己的内部 npm 源，在导入到内部源的时候会运行代码安全性检查。
程序员自己的话跟着公司政策走就行。

还不放心的话，你可以找台国外的服务器自己做源，或者做代理

你一说安全我就想笑。

@lhx888 当然可以质疑 你这不是质疑 你是直接泼脏水了