首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
广告
lifeTech
V2EX  ›  Node.js

大家是如何防范一些恶意的 npm 仓库包的?

  •   
  •   lifeTech · 2016-11-14 11:20:07 +08:00 · 3558 次点击
    这是一个创建于 3273 天前的主题,其中的信息可能已经有所发展或是发生改变。

    好比如下面这种攻击,大家是用什么方式来规避的 https://www.cnblogs.com/index-html/p/npm_package_phishing.html

  • npm
  • 仓库
  • 规避
  • 恶意
    5 条回复    2016-11-14 22:02:05 +08:00
    realpg
        1
    realpg  
    PRO
       2016-11-14 11:53:00 +08:00
    不用 node.js 就完事了……
    233333
    viko16
        2
    viko16  
       2016-11-14 12:37:01 +08:00
    https://nodesecurity.io/advisories/

    供参考
    differui
        3
    differui  
       2016-11-14 13:39:47 +08:00
    自建服务
    novaline
        4
    novaline  
       2016-11-14 15:43:30 +08:00
    确实遇到过这个问题,目前如博客所说,先找到对应的 git repo ,看看 star 数量,调查清楚了,直接指定 git repo url 安装
    smallpath
        5
    smallpath  
       2016-11-14 22:02:05 +08:00
    恶意包? 正好知道有个项目就是评价依赖安全的。

    楼上的办法结合 npm shrinkwrap 效果更佳
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   Solana   ·   1162 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 17:44 · PVG 01:44 · LAX 10:44 · JFK 13:44
    ♥ Do have faith in what you're doing.