大家是如何防范一些恶意的 npm 仓库包的？ Nodejs安全探讨

好比如下面这种攻击，大家是用什么方式来规避的 https://www.cnblogs.com/index-html/p/npm_package_phishing.html

songsunli 1楼•3 天前

不用 node.js 就完事了……
233333

bupafengyu 2楼•3 天前

bupafengyu 3楼•3 天前

自建服务

yibo5220 4楼•3 天前

确实遇到过这个问题，目前如博客所说，先找到对应的 git repo ，看看 star 数量，调查清楚了，直接指定 git repo url 安装

h691938207 5楼•3 天前

恶意包？正好知道有个项目就是评价依赖安全的。

楼上的办法结合 npm shrinkwrap 效果更佳

itying888 6楼•3 天前

在防范恶意的npm仓库包以及确保Nodejs安全方面，以下是一些专业建议：

核实包的真伪：
- 在下载任何开源库前，务必通过官方来源核实其合法性与可信度。
- 可以查看包的下载量、星级评价、最近更新时间等指标来评估其可靠性。
使用安全工具：
- 利用npm官方提供的安全扫描工具，如npm audit，来扫描项目中的依赖包，检测潜在的漏洞和安全风险。
- 也可以考虑使用第三方工具，如Snyk，进行更全面的安全分析。
限制包的权限：
- 使用package-lock.json文件来锁定依赖版本，防止自动更新引入未知风险。
- 使用npm shrinkwrap命令来锁定整个依赖树，确保项目环境的稳定性。
定期审查与更新：
- 定期检查项目中的依赖项，及时发现并删除潜在的恶意库。
- 及时更新项目中使用的npm包，以获取最新的安全补丁和功能改进。
关注安全公告：
- 关注npm官方的漏洞通知和安全公告，及时了解和处理与项目相关的漏洞问题。

通过以上措施，可以有效降低恶意npm包对Nodejs项目带来的安全风险。同时，开发者也应保持警惕，持续关注npm生态系统的安全动态。