npm供应链攻击草稿

lockfile 攻击
npm-scripts 攻击
最新依赖攻击
内部依赖混淆攻击：公共源发布易混淆的私有包，比如 @byted/xxx
历史漏洞攻击：安装后才知道漏洞，如何提前防护？
木马源攻击：这个还没看懂。。

# npm-scripts 攻击（wip）

安装第三方依赖的时候，可以触发安装后钩子（postinstall），以帮助处理一些构建后工作，比如依赖安装失败选择源码构建。

但这个钩子可能会被不法分子利用，导致安全问题。

此外，husky 使用中，推荐使用 prepare 代替 postinstall: https://github.com/typicode/husky/issues/884

# 拓展阅读

npm安全：防止供应链攻击 (opens new window)，原文：NPM security: preventing supply chain attacks (opens new window)

上次更新: 2024/09/01, 23:56:56

← npm link 存在的问题 npm资料→

01
浅谈代码质量与量化指标 08-27

02
快速理解 JS 装饰器 08-26

03
Vue 项目中的 data-v-xxx 是怎么生成的 09-19

更多文章>