是什么阻止黑客从github克隆NodeJS存储库,添加一些恶意代码,将版本增加为补丁并运行npm publish?
NPM文档似乎没有对认证运行npm publish的人的身份进行任何说明。
我克隆了一个存储库并增加了版本,然后运行npm publish --dry-run,它并没有抱怨它不会发布。
答案 0 :(得分:-1)
NPM确实限制了谁可以将代码推送到您发布的程序包中,但这并不是说有人在您不了解的情况下不能这样做。到目前为止,在某些情况下,大概是采用了被盗凭证。
您可以尝试创建一个程序包,然后尝试在没有必要凭据的情况下从另一台计算机推送到该程序包。您将看到采取了哪些措施来防止这种情况发生。