【ITBEAR科技資訊】4月20日消息,GitHub宣布提高安全性,將在GitHub Actions上使用新的圖標來標記npm包的出處,并附上相應的鏈接,以驗證和溯源npm包的來源。
Javascript開發人員可以通過npm包管理器調用數千個包,為項目添加各種新特性、新功能。但是,開發者并不總是能夠確定該包是否基于源代碼構建。據ITBEAR科技資訊了解,近年來,攻擊者對流行的npm包進行攻擊,例如UAParser.js、Command-Option-Argument和rc等,這些攻擊不會直接破壞源代碼,但如果開發者使用已經被修改或者包含惡意內容的npm包,可能會影響到他們的項目和最終的消費者。
為了提高開發者的安全性,GitHub制定了這項調整。通過引入出處信息,npm包可以被驗證并追溯到其來源,為開發者提供更多的安全保障,讓他們更加放心地使用npm包來構建其項目。
