网络第5域

GitHub提高了npm包的可验证性以增加安全性

字号+作者: 来源:cnBeta.COM 2023-04-20 12:05 评论(创建话题) 收藏成功收藏本文

GitHub已经为GitHubActions上的npm包引入了出处声明机制。通过使用一个特殊的出处标志,软件包维护者可以让消费者相信,输出的软件包是使用链接的源码库构'...

GitHub已经为GitHubActions上的npm包引入了出处声明机制。通过使用一个特殊的出处标志,软件包维护者可以让消费者相信,输出的软件包是使用链接的源码库构建的。通过npm包管理器,使用JavaScript的开发者可以使用成千上万的包来为他们的项目添加新的特性和功能。lqE品论天涯网

lqE品论天涯网

为了帮助说明为什么这一发展是有用的,GitHub说大多数人不会把一个随机的USB插入他们的电脑,以防它有恶意软件,在npm上找到的软件包也是如此。虽然代码可能是开源的,但你实际上不知道这个包是否是由该源代码构建的。而有了出处声明,npm的软件包可以与源代码联系起来。lqE品论天涯网

GitHub介绍说,在过去几年中,攻击者对流行的npm包进行了攻击,如UAParser.js、Command-Option-Argument和rc。这些攻击并不直接破坏源代码,而是使用被破坏的证书来发布一个恶意版本的软件包。通过实际链接发布的软件包和源代码,消费者可以更加确信他们正在安装可信任的软件。lqE品论天涯网

如果你想深入了解npm出处声明机制的细节,请查看GitHub的博文:lqE品论天涯网

https://github.blog/2023-04-19-introducing-npm-package-provenance/
lqE品论天涯网

相关文章:lqE品论天涯网

GitHub现在允许研究人员私下向项目维护者报告安全漏洞lqE品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]