V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lifeTech
V2EX  ›  Node.js

大家是如何防范一些恶意的 npm 仓库包的?

  •  
  •   lifeTech · 2016-11-14 11:20:07 +08:00 · 3184 次点击
    这是一个创建于 2933 天前的主题,其中的信息可能已经有所发展或是发生改变。

    好比如下面这种攻击,大家是用什么方式来规避的 https://www.cnblogs.com/index-html/p/npm_package_phishing.html

    5 条回复    2016-11-14 22:02:05 +08:00
    realpg
        1
    realpg  
       2016-11-14 11:53:00 +08:00
    不用 node.js 就完事了……
    233333
    viko16
        2
    viko16  
       2016-11-14 12:37:01 +08:00
    differui
        3
    differui  
       2016-11-14 13:39:47 +08:00
    自建服务
    novaline
        4
    novaline  
       2016-11-14 15:43:30 +08:00
    确实遇到过这个问题,目前如博客所说,先找到对应的 git repo ,看看 star 数量,调查清楚了,直接指定 git repo url 安装
    smallpath
        5
    smallpath  
       2016-11-14 22:02:05 +08:00
    恶意包? 正好知道有个项目就是评价依赖安全的。

    楼上的办法结合 npm shrinkwrap 效果更佳
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1053 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 20:02 · PVG 04:02 · LAX 12:02 · JFK 15:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.