V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Micropaper
V2EX  ›  前端开发

一分钟读论文:《NPM 供应链的软肋是什么?》

  •  
  •   Micropaper ·
    unbug · 2023-01-28 14:08:04 +08:00 · 743 次点击
    这是一个创建于 426 天前的主题,其中的信息可能已经有所发展或是发生改变。

    微软和美国北卡罗莱纳州立大学合作的一篇论文《 What are Weak Links in the npm Supply Chain?》,显然 NPM 供应链攻击形势非常严峻,论文结论建议 NPM 要求对依赖排名前 100 的包的维护者进行强制性 2FA 登录认证。有几个数据触目惊心:

    1. 93K 里就有 3k 维护者的邮箱都已经失效甚至在网上被售卖,覆盖 33 个 TOP1 流行的包。
    2. 2.2%的包可以本身逻辑就支持安装脚本,2.4% TOP1 流行包依赖了它们。而市面上 93%的恶意脚本都是通过安装脚本达到目的。
    3. 58%的包和 44%的维护者都不活跃了,而流行包里有 38%的包两者都不活跃了。
    4. 1% TOP1 的包包含 30+维护者,60+贡献者,维护:贡献高达 1:2 。
    5. NPM 52%的包被 5K 作者拥有。

    阅读全文:一分钟读论文:《 NPM 供应链的软肋是什么?》

    2 条回复    2023-01-28 19:41:27 +08:00
    netabare
        1
    netabare  
       2023-01-28 19:22:20 +08:00 via Android
    npm 在这方面问题确实很大。

    不过如果一个包的作者想放手不干了,哪怕这是非常流行的包,一般正确的做法是什么呢?大体上也不是所有的项目都有一个很成熟的治理方案,引入特别的治理方案对于基于爱好的开源社区不一定是好事吧(比如说自动关闭 issue 的 bot )
    Micropaper
        2
    Micropaper  
    OP
       2023-01-28 19:41:27 +08:00 via iPhone
    @netabare 有篇论文讲了最佳实践,过段时间整理,欢迎订阅 RSS
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   2814 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 14:38 · PVG 22:38 · LAX 07:38 · JFK 10:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.