- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
根据this post ,恶意 npm 模块是真实存在的。似乎唯一真正的方法是“了解您正在安装的内容。”
当我 npm install
和 require()
一个模块时,
package.json
设置,还是使用操作系统的 native 用户/组文件权限系统?最佳答案
npm 包(就像任何库/软件一样)可以完全访问您放置它的任何环境。如果您可以在 Node.js 中做到这一点,npm 包也可以做到。作为包管理器,npm 可以有效地将文件放在任何地方(例如,恶意可执行文件),并且当调用函数时,它可以执行其编程的任何操作(例如,执行恶意软件)。
软件审核是真实存在的,各个开源组织正在大力插入,以帮助确保软件不存在任何严重缺陷(有意或无意)。在安装之前,找到 package.json 文件并阅读它,如果有些东西看起来可疑,您可能需要更深入地挖掘(向开发人员或社区成员寻求帮助)。如果该软件是开源的,请寻求审核(或您自己审核)。
这篇 Medium 文章中列出了一些建议:https://medium.com/@nodepractices/were-under-attack-23-node-js-security-best-practices-e33c146cb87d
建议:尝试成为一名白帽黑客。检查技术并尝试用您编写的一些恶意代码感染您自己的机器,然后看看是否有办法避免它。
来源: https://docs.npmjs.com/files/package.json
https://docs.npmjs.com/cli/install
关于node.js - 安装(运行)国外 npm 模块有哪些风险?我们可以限制风险吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58032356/
根据this post ,恶意 npm 模块是真实存在的。似乎唯一真正的方法是“了解您正在安装的内容。” 当我 npm install 和 require() 一个模块时, 它可以访问我的整个文件系统
我是一名优秀的程序员,十分优秀!