这是一个创建于 1077 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天发布了自己第一个 npm 包,一个自己写的表格组件,方便拖拽合并单元格等操作
发布的过程中发现:
1.发布的包不需要经过任何审核
2.发布的包能访问和操作电脑的任何信息
感觉必然会导致病毒滋生,以后不太敢乱用 npm 包了
发布的过程中发现:
1.发布的包不需要经过任何审核
2.发布的包能访问和操作电脑的任何信息
感觉必然会导致病毒滋生,以后不太敢乱用 npm 包了
 |
1
paopjian 2021-11-27 17:23:08 +08:00
npm 供应链投毒,老传统了,写引用写死版本号吧.
以前还出现过作者卖号 /被盗号,发布新版本导致中毒事件呢. 甚至还有一大堆高仿名字包就等着糊涂蛋去用呢 |
 |
2
makelove 2021-11-27 18:40:33 +08:00
可怕的是 js 的包细碎,一个普通项目用到了大量不同人的成千上万的包,只要一个被投毒。。。
|
 |
3
imdong 2021-11-27 20:06:03 +08:00 via iPhone
全放进 Docker
|
Select Language