今天发布了自己第一个 npm 包,一个自己写的表格组件,方便拖拽合并单元格等操作
发布的过程中发现:
1.发布的包不需要经过任何审核
2.发布的包能访问和操作电脑的任何信息
感觉必然会导致病毒滋生,以后不太敢乱用 npm 包了
发布的过程中发现:
1.发布的包不需要经过任何审核
2.发布的包能访问和操作电脑的任何信息
感觉必然会导致病毒滋生,以后不太敢乱用 npm 包了
This topic created in 1640 days ago, the information mentioned may be changed or developed.
 |
1
paopjian Nov 27, 2021
npm 供应链投毒,老传统了,写引用写死版本号吧.
以前还出现过作者卖号 /被盗号,发布新版本导致中毒事件呢. 甚至还有一大堆高仿名字包就等着糊涂蛋去用呢 |
 |
2
makelove Nov 27, 2021
可怕的是 js 的包细碎,一个普通项目用到了大量不同人的成千上万的包,只要一个被投毒。。。
|
 |
3
imdong Nov 27, 2021 via iPhone
全放进 Docker
|
Select Language