新聚网
NPM 是 JavaScript 编程语言的程序包管理器,也是广泛使用的 Noje.js 环境的默认配置。
该程序包管理器有助于项目管理员自动化安装、升级和配置托管在 npmjs.com 的 npm 注册表数据库上的软件包。
当程序包在 npm 注册表上展示的 maniefest 信息,与安装该程序包时使用的发布的 npm 包 tarball 中的实际的 “package.json” 文件不一致时,就会发生 Manifest 混淆。
IT之家在此附上该工具的 GitHub 页面,有需要的用户可以前往下载。
用户需要该工具要求安装相关组件:
pip install -r requirements.txt
如果只是想要检查某个包,只需要在脚本末尾添加包的名称,例如:
$ ./npm-manifest-check.py darcyclarke-manifest-pkg
反馈结果将显示 Manifest 和实际 package.json 文件之间的版本、依赖项、脚本和包名称中的任何不匹配信息。
如果想要检测多个包,可以先将这些包添加到“packages.list”文件中,然后使用“check_packages.sh”包装器脚本进行检查。
广告声明:本文含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考。IT之家所有文章均包含本声明。
未经允许不得转载:新聚网 » 新 Python 工具可检测 NPM 包是否存在“Manifest 混淆”问题
Swift Assist 进化:苹果 Xcode 26 可接入端侧、Claude 等 AI 编程模型
安全公司曝光黑客盗用开发团队账号在 NPM 平台散布恶意软件包,涉及 React Native / GlueStack 项目
英特尔发布 32.0.101.6881 WHQL 显卡驱动,修复《守望先锋 2》游戏崩溃问题
时隔一年半,苹果手记 Journal 应用将随 macOS / iPadOS 26 登陆 Mac / iPad
苹果推出容器化框架,可直接在 Mac 上创建、下载或运行 Linux 容器镜像
微软 Win10 / Win11 新版 Outlook 被曝新问题:重要会议安排凭空消失
Linux 6.16 首个 RC 候选版发布:提升电源管理效率、扩展硬件支持、优化 EXT4 文件系统
