您现在的位置是:首页 > 资讯

GitHub提高安全性 npm包可验证溯源

时间:2023-04-20浏览:873

GitHub近日宣布提高安全性,在GitHub Actions上使用新的图标来标记npm包,标明其出处并附上相应的链接。使用JavaScript的开发人员可以通过npm包管理器,调用数千个包,为项目添加各种新特性、新功能。

但开发者在推进项目过程中,虽然可以找到合适的npm包,但并不知道该包是否根据源代码构建的。通过引入出处,npm包可验证溯源。

对于GitHub制定这项调整的动机,攻击者在过去几年时间里,对UAParser.js、Command-Option-Argument和rc等流行的npm包进行了攻击。这些攻击不会直接破坏源代码,但开发者如果使用经过修改、包含恶意的包,可能会影响到项目和消费者。

所有文章未经授权禁止转载、摘编、复制或建立镜像,违规转载法律必究。

举报邮箱:3031084316@qq.com

相关标签: GitHub npm包