【ITBEAR科技资讯】4月20日消息,GitHub宣布提高安全性,将在GitHub Actions上使用新的图标来标记npm包的出处,并附上相应的链接,以验证和溯源npm包的来源。
Javascript开发人员可以通过npm包管理器调用数千个包,为项目添加各种新特性、新功能。但是,开发者并不总是能够确定该包是否基于源代码构建。据ITBEAR科技资讯了解,近年来,攻击者对流行的npm包进行攻击,例如UAParser.js、Command-Option-Argument和rc等,这些攻击不会直接破坏源代码,但如果开发者使用已经被修改或者包含恶意内容的npm包,可能会影响到他们的项目和最终的消费者。
为了提高开发者的安全性,GitHub制定了这项调整。通过引入出处信息,npm包可以被验证并追溯到其来源,为开发者提供更多的安全保障,让他们更加放心地使用npm包来构建其项目。
