一分钟读论文：《NPM 供应链的软肋是什么?》

微软和美国北卡罗莱纳州立大学合作的一篇论文《 What are Weak Links in the npm Supply Chain?》，显然 NPM 供应链攻击形势非常严峻，论文结论建议 NPM 要求对依赖排名前 100 的包的维护者进行强制性 2FA 登录认证。有几个数据触目惊心：

1. 93K 里就有 3k 维护者的邮箱都已经失效甚至在网上被售卖，覆盖 33 个 TOP1 流行的包。
2. 2.2%的包可以本身逻辑就支持安装脚本，2.4% TOP1 流行包依赖了它们。而市面上 93%的恶意脚本都是通过安装脚本达到目的。
3. 58%的包和 44%的维护者都不活跃了，而流行包里有 38%的包两者都不活跃了。
4. 1% TOP1 的包包含 30+维护者，60+贡献者，维护：贡献高达 1:2 。
5. NPM 52%的包被 5K 作者拥有。

阅读全文：一分钟读论文：《 NPM 供应链的软肋是什么?》