【ITBEAR科技資訊】4月20日消息,GitHub宣布提高安全性,將在GitHub Actions上使用新的圖標(biāo)來(lái)標(biāo)記npm包的出處,并附上相應(yīng)的鏈接,以驗(yàn)證和溯源npm包的來(lái)源。
Javascript開(kāi)發(fā)人員可以通過(guò)npm包管理器調(diào)用數(shù)千個(gè)包,為項(xiàng)目添加各種新特性、新功能。但是,開(kāi)發(fā)者并不總是能夠確定該包是否基于源代碼構(gòu)建。據(jù)ITBEAR科技資訊了解,近年來(lái),攻擊者對(duì)流行的npm包進(jìn)行攻擊,例如UAParser.js、Command-Option-Argument和rc等,這些攻擊不會(huì)直接破壞源代碼,但如果開(kāi)發(fā)者使用已經(jīng)被修改或者包含惡意內(nèi)容的npm包,可能會(huì)影響到他們的項(xiàng)目和最終的消費(fèi)者。
為了提高開(kāi)發(fā)者的安全性,GitHub制定了這項(xiàng)調(diào)整。通過(guò)引入出處信息,npm包可以被驗(yàn)證并追溯到其來(lái)源,為開(kāi)發(fā)者提供更多的安全保障,讓他們更加放心地使用npm包來(lái)構(gòu)建其項(xiàng)目。
