چطور قبل از نصب یه پکیج npm بررسیش کنیم
نود جیاس
جاوااسکریپتخلاصهٔ کاملتر
ایدهی اصلی مقاله ساده ولی مهمه: هر بار که npm install میزنی، داری کدی رو وارد محیط production میکنی که یه غریبه نوشته و به هر چیزی که پروسهت دسترسی داره میرسه — فایلسیستم، شبکه، متغیرهای محیطی. ولی بیشتر ما این ریسک رو فقط با نگاه به دو عدد مدیریت میکنیم: دانلود هفتگی و ستارهی گیتهاب. نویسنده میگه هیچکدوم اینها چیز معناداری دربارهی امن یا سالم بودن پکیج بهت نمیگن.
حملات زنجیرهی تأمین (supply chain) این موضوع رو جدیتر کرده. نمونههایی مثل event-stream و ua-parser-js نشون دادن یه پکیج محبوب و قانونی میتونه از طریق مهندسی اجتماعی روی نگهدارنده، تایپواسکوات یا یه وابستگی چندلایه آلوده بشه. یه تهدید تازهتر هم هست به اسم slopsquatting: مدلهای هوش مصنوعی گاهی اسم پکیجهایی رو پیشنهاد میدن که وجود ندارن، و مهاجمها اون اسمها رو ثبت میکنن تا هر کی کورکورانه نصب کرد، یه چیز مخرب گیرش بیاد.
- دسترسی به خلاصهٔ کوتاه خبر
- دسترسی به خلاصهٔ کامل/اختصاصی خبر + نکات کلیدی
- ارسال اخبار مورد علاقه به ایمیل شما
- ارسال اخبار مورد علاقه به تلگرام شما
- عدم نمایش تبلیغات
- دسترسی به خلاصهٔ کوتاه خبر
- دسترسی به خلاصهٔ کامل/اختصاصی خبر + نکات کلیدی
- ارسال اخبار مورد علاقه به ایمیل شما
- ارسال اخبار مورد علاقه به تلگرام شما
- عدم نمایش تبلیغات
