系統(tǒng)之家 - 系統(tǒng)光盤下載網(wǎng)站!

當(dāng)前位置:系統(tǒng)之家 > IT快訊 > 詳細(xì)頁面

GitHub Actions 使用新的圖標(biāo)來標(biāo)記 npm 包,可驗證溯源

編輯:alear 2023-04-20 11:50:13 來源于:IT之家

  系統(tǒng)之家 4 月 20 日最新消息,GitHub 為了提高安全性,在 GitHub Actions 上使用新的圖標(biāo)來標(biāo)記 npm 包,標(biāo)明其出處并附上相應(yīng)的鏈接。使用 JavaScript 的開發(fā)人員可以通過 npm 包管理器,調(diào)用數(shù)千個包,為項目添加各種新特性、新功能。

GitHub Actions 使用新的圖標(biāo)來標(biāo)記 np

  開發(fā)者在推進(jìn)項目過程中,雖然可以找到合適的 npm 包,但并不知道該包是否根據(jù)源代碼構(gòu)建的。通過引入出處,npm 包可驗證溯源。

  對于 GitHub 制定這項調(diào)整的動機,系統(tǒng)之家從官方新聞稿中獲悉,攻擊者在過去幾年時間里,對 UAParser.js、Command-Option-Argument 和 rc 等流行的 npm 包進(jìn)行了攻擊。

  這些攻擊不會直接破壞源代碼,但開發(fā)者如果使用經(jīng)過修改、包含惡意的包,可能會影響到項目和消費者。

標(biāo)簽 github

發(fā)表評論

0

沒有更多評論了

評論就這些咯,讓大家也知道你的獨特見解

立即評論

以上留言僅代表用戶個人觀點,不代表系統(tǒng)之家立場

官方交流群 軟件收錄