前言
前有知名前端开源库 fake.js 和 color.js 遭开发者恶意破坏波及大量项目,后有国内知名项目 vue-admin-beautiful 作者 npm 包投毒事件,开源库真的可以放心使用吗?
我的看法
大部分的开源项目我认为都是很棒很 nice,大家努力用爱发电为自己创造更多的价值和提升自己。我看过几篇文章关于检测恶意代码的,有去检验证一些常规的,有没有修改window对象里面的一些原生方法,有做沙箱去管理自己window对象的,还有比较高大尚的算法检测,这些想法都很棒,但我认为还远远不过。
我的解决方法:
- 使用大团队维护知名的库
没了,我选择相信 😂
直到我遇到了这个网站 socket
这个网站只需要你输入npm的包名称,那么它就会显示这个包代码,包括 👇
- 代码质量
- 开发供应的安全
- 漏洞
- 安全执照
- 维护
注意旁边还有个 issue 的菜单项,它能分析这个包的质量,并且这个包里面的依赖的包的质量,可谓是一网打尽。
并且每个问题都能点进去查看到对应的文件的行数,无所遁行,细小到代码里面出现完整的 URL 都会预警提示,简直是开发者的福音。
更多功能大家好好发掘哈
