我们的IT /安全部门要负责验证从npm下载的内容的完整性。我是一名程序员,虽然我总体上了解执行sha校验和是什么,但在弄清楚如何在NPM软件包上执行该操作时还是很困难。
我成功地检查了从浏览器下载的单个文件是否为npm。 NPM安装在“ package-lock.json”中带有“完整性”值,但是我不确定如何使用该值。例如,当尝试在D3库中执行“完整性”值为“ sha512-4PL5hHaHwX4m7Zr1UapXW23apo6pexCgdetdJ5kTmADpG / 7T9Gkxw0M0tf / pjoB63ezCCm0u5UaFYwc = M”的I3时,I3已成为I <我尝试使用7zip创建package文件夹的压缩文件,甚至尝试直接从“已解决”值“ https://registry.npmjs.org/d3/-/d3-5.16”下载“ .tgz”文件。 0.tgz”,仍然无法产生正确的校验和。
我使用了以下两个命令,它们都给我相同的结果。 (e0f2f9847687c17e26ed9af551aa575b6ddaa68ea97b10a075eb5d2799139800e91bfed3f46931c34334b5ffe98e807addecc20a6d2ee54685632d9a32dd0c73)
Get-FileHash -Path C:\Path\to\d3-5.16.0.tgz -Algorithm SHA512
certutil -hashfile C:\Path\to\d3-5.16.0.tgz sha512
如果有人可以引导我完成我做错或错过的事情,那将非常感激。