0
例如,当您执行npm init并安装express时,最终会生成一个包含其他20个文件夹的node_modules文件夹。如何确保你的npm依赖是安全的?
我从来没有遇到过这个问题......但不是它可能是一个问题?
A
回答
0
当然,其中可能存在恶意代码。这就像安装软件一样,你不需要安装随机模块。只要确保你安装的软件包值得信赖。
0
是的,这是确定的事情要记住。话虽如此,大多数情况下,你会处理非常流行的库/包,它们可以安全地假定它们是安全的。但是,如果您需要下载不太受欢迎的程序,请查看源代码。
编辑:在全局安装包时,担心安全问题变得更加不利。绝对不要在全球范围内安装您有任何疑问的软件包。
+0
是的它是有道理的。我从来没有真正关心它,事实上,这只是一个实践NodeJS面试问题,让我思考。我认为我在全球安装的唯一软件包(我能想到的)是Node,yarn和mongo ...如果这是一个软件包。 – dsomel21
相关问题
- 1. 如何安装所有NPM依赖
- 2. 由npm安装的concat依赖关系
- 3. NPM安装不保存依赖性的package.json
- 4. 如何将npm安装为只保存对package.json的依赖关系?
- 5. 全局npm依赖express不会运行
- 6. 构建Git依赖于全局npm安装
- 7. Yoeman安装 - [NPM全球根值是不是在你的NODE_PATH]
- 8. 安装npm包无依赖关系
- 9. 从github安装NPM依赖项
- 10. material-ui安装npm依赖关系
- 11. Angular 2 npm安装依赖缺失
- 12. NPM安装想不出阅读依赖
- 13. npm安装不安装依赖关系 - 只是锁定文件
- 14. mysql(i)_real_escape_string,安全依赖?
- 15. 如何使npm不依赖于依赖关系
- 16. 如何确保Webservice的安全性?
- 17. npm如何绘制依赖关系树?
- 18. npm:依赖关系如何管理?
- 19. 如何使用npm install来安装bower依赖关系?
- 20. 保持Erlang中的依赖关系安全
- 21. 你如何定义嵌套在git仓库中的npm依赖项?
- 22. 当包是依赖关系时,npm安装失败
- 23. 无法npm安装全球化与离子2.2.0,未满足的依赖
- 24. pip:安装依赖的依赖关系
- 25. 我如何确保其他依赖它的财产的价值?
- 26. 安装NPM的依赖到文件夹中不包含的package.json
- 27. 你如何管理你的应用程序的外部依赖?
- 28. npm嵌套依赖管理
- 29. npm:破坏依赖关系
- 30. NPM SDK同行依赖
“只要确保你安装的软件包值得信赖”就会引起原始海报所述的相同问题:你如何确保你的npm依赖是安全的(又称可信)? –