是什么阻止黑客从 github 克隆 NodeJS 存储库、添加一些恶意代码、增加版本作为补丁并运行npm publish?
看起来 NPM 文档没有说明任何关于验证运行者身份的内容npm publish。
我克隆了一个 repo 并增加了版本并运行npm publish --dry-run,它没有抱怨它不会发布。
NPM 确实限制了谁可以将代码推送到您发布的包,但这并不是说有人不能在您不知情的情况下执行此操作。到目前为止,已经发生了一些可能使用了被盗凭据的案例。
您可以尝试创建一个包,然后尝试从另一台计算机推送到它,而无需提供必要的凭据。您会看到采取了哪些措施来防止这种情况发生。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句