论坛风格切换
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 603阅读
  • 1回复

[业界新闻]GitHub提高了npm包的可验证性以增加安全性 [复制链接]

上一主题 下一主题
离线闪电
 

发帖
27990
今日发帖
最后登录
2024-12-25
只看楼主 倒序阅读 使用道具 楼主  发表于: 2023-04-20 14:35:56
GitHub已经为GitHub Actions上的npm包引入了出处声明机制。通过使用一个特殊的出处标志,软件包维护者可以让消费者相信,输出的软件包是使用链接的源码库构建的。通过npm包管理器,使用JavaScript的开发者可以使用成千上万的包来为他们的项目添加新的特性和功能。 }}1Q<puM  
%'z3es0  
为了帮助说明为什么这一发展是有用的,GitHub说大多数人不会把一个随机的USB插入他们的电脑,以防它有恶意软件,在npm上找到的软件包也是如此。虽然代码可能是开源的,但你实际上不知道这个包是否是由该源代码构建的。而有了出处声明,npm的软件包可以与源代码联系起来。 3)SZVME1Z  
GitHub介绍说,在过去几年中,攻击者对流行的npm包进行了攻击,如UAParser.js、Command-Option-Argument和rc。这些攻击并不直接破坏源代码,而是使用被破坏的证书来发布一个恶意版本的软件包。通过实际链接发布的软件包和源代码,消费者可以更加确信他们正在安装可信任的软件。 *xP:7K  
如果你想深入了解npm出处声明机制的细节,请查看GitHub的博文: n.RhA-O  
https://github.blog/2023-04-19-introducing-npm-package-provenance/ ;i>E @  
百度一下“闪电软件园”,惊喜等着您哦!
┖───────────────┘┕━━━━┛  

离线zzl311

发帖
2033
今日发帖
最后登录
2024-11-25
只看该作者 沙发  发表于: 2023-04-21 09:48:14
形象分享。