恶意编码事件后Faker NPM软件包重回正轨

前端小工
175 阅读2分钟

恶意编码事件后,Faker NPM软件包重回正轨

一个新的维护者小组正在着手开发Faker JavaScript库的 "官方 "版本,因为之前的维护者已经叛变了。

在最近发生的对NPM软件包注册表造成破坏的事件之后,一组新的维护者正在重新建立Faker项目,使其成为一项社区工作。前任维护者用恶意代码破坏了Faker的NPM包,影响了2500多个依赖它的其他NPM包。

Faker的JavaScript库生成模拟数据用于测试和开发。一组工程师为新的Faker包创建了一个GitHub repo,并在NPM的@faker-js/faker发布了以前的版本。

1月4日,前任维护者向Faker和colors库提交了恶意代码,造成了一个无限循环,影响了成千上万的项目。作为回应,监管NPM的GitHub删除了恶意的Faker和colors软件包,并根据NPM的恶意软件政策暂停了该用户的账户。此外,还发布了一份与颜色有关的安全公告

Faker于2004年首次在Perl中实施。在1月14日的公告中,新的维护者宣布了一项改进Faker的计划,并发布了6.x版本的alpha。路线图上的项目包括:

  • ESM(ECMAScript模块)支持
  • 改进测试基础设施
  • 编写Typegen文档
  • 与Faker生态系统的现有维护者合作
  • 在文档中提供一个交互式游乐场
  • Node.js 18兼容性

Faker和颜色事件并不是NPM第一次受到软件包之间依赖关系的影响。在2016年,一个开发者取消发布一个小的JavaScript包,破坏了许多其他项目的依赖关系。

avatar
文章
阅读
粉丝