新聚网
使用 JavaScript 的开发人员可以通过 npm 包管理器,调用数千个包,为项目添加各种新特性、新功能。
但开发者在推进项目过程中,虽然可以找到合适的 npm 包,但并不知道该包是否根据源代码构建的。通过引入出处,npm 包可验证溯源。
对于 GitHub 制定这项调整的动机,IT之家从官方新闻稿中获悉,攻击者在过去几年时间里,对 UAParser.js、Command-Option-Argument 和 rc 等流行的 npm 包进行了攻击。
这些攻击不会直接破坏源代码,但开发者如果使用经过修改、包含恶意的包,可能会影响到项目和消费者。
未经允许不得转载:新聚网 » GitHub 提高安全性,npm 包可验证溯源
Swift Assist 进化:苹果 Xcode 26 可接入端侧、Claude 等 AI 编程模型
安全公司曝光黑客盗用开发团队账号在 NPM 平台散布恶意软件包,涉及 React Native / GlueStack 项目
英特尔发布 32.0.101.6881 WHQL 显卡驱动,修复《守望先锋 2》游戏崩溃问题
时隔一年半,苹果手记 Journal 应用将随 macOS / iPadOS 26 登陆 Mac / iPad
苹果推出容器化框架,可直接在 Mac 上创建、下载或运行 Linux 容器镜像
微软 Win10 / Win11 新版 Outlook 被曝新问题:重要会议安排凭空消失
Linux 6.16 首个 RC 候选版发布:提升电源管理效率、扩展硬件支持、优化 EXT4 文件系统
