“Node.js 包已不值得信任！”

整理 | 郑丽媛

出品 | CSDN（ID：CSDNnews）

近来，频繁发生的 npm 供应链攻击令开发者们精疲力竭：

流行 npm 包 faker.js 和 colors.js 的作者为抵制“开源白嫖”而，导致数千个应用崩溃；

知名 npm 包 node-ipc 的作者以“反战”为名，向；

攻击者针对 Azure 开发者，创建了向 以窃取 PII（个人身份信息）；

代号为“RED-LILI”的黑客发动了大规模 npm 供应链攻击，一口气发布近 800 个恶意 npm 包。

这一系列接连不断的 npm 供应链攻击令许多人开始怀疑：Node.js 包究竟还值得信任吗？对于这个问题，知名开源框架 sharedb/ottypes 作者 Seph Gentle 通过一篇文章给出了他的回答：“Node.js 包已不值得信任。”

声明：本站所有文章，如无特殊说明或标注，均为本站原创发布。任何个人或组织，在未征得本站同意时，禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益，可联系我们进行处理。