npm 用淘宝源替换官方源，会不会有资安问题啊？

@Mooon 百度免费 你可真是大聪明

我记得现在的 pnpm ，yarn 都是校验 sha256 的。npm 默认的行为不知道是不是 sha256 ，但就算不是，也有基于 sha1 ，md5 的包校验。
楼主可以观察下 package-lock.json yarn.lock pnpm-lock.yaml 里面的结构。

当然，包这没有 GPG 签名啥的，所以中央源可以通过一些手段修改包的一些信息，比如说替代一个版本~
对于这种情况，可能只有楼主写一个工具脚本，定期针对你的 lockfile 做校验=，=

只能说概率上，npm 包本身带料的可能性都大于淘宝搬运时加东西 - -

台湾人用大陆的镜像，是有一定风险的

@woshipanghu

来，你来教育一下大家，普通搜索业务，百度什么时候不是免费了

条理清晰地说清楚，我发 1000 块钱红包给你

说不明白，你给大家发 100 块钱红包

这么简单的事情，应该五分钟就说的清楚吧

五分钟赚 1000 块钱，换算一下应该怎么都不会比你平均时新低吧

——————————————————

另外也也欢迎有朋友可以作为第三方的见证人参与进来，我可以先把赌注的 1000 块钱转过去

台湾没有镜像源？

会，淘宝会修改他们镜像里的包的代码。以前用他们 Maven 仓库的时候发现过。

@dfkjgklfdjg 阿里那群蠢货夹带私活不是一次两次的事情了，之前 Ant-Design 圣诞节彩蛋就被喷过，阿里 Maven 仓库提供的 maven-compiler-plugin 也被修改代码夹带了阿里的广告。

@Mooon 不必回应 @woshipanghu ,如果他同意自己的观点，这样的奇人我等只有参观与猎奇的份，思维不在一个维度上不需要反驳。如果他不认同自己的观点，仍然维护它,就是有目的的。他的方法就是抛出谬论附带人身攻击，把讨论环境搅和的乌烟瘴气。非蠢即坏，何必搭理。再一个我想起一句话：“看头像，知成份”

@lhx888 谢谢朋友开导