我通过 npm 包管理器使用了许多 Node.js 模块。由于这些模块不是由受信任的组织开发的,它们是否值得信任?
我不知道 npm 团队是否对开发者提交的每个模块进行任何安全检查。
最佳答案
NPM 不做任何检查。它们只是一个注册表。 整个事情建立在对开发社区和分享的信任之上。
大多数 Node 模块都是开源的,您可以在其存储库(通常是 Github)中查看它们的代码。 所以这是“信任”他们的最佳方式。 一些 Node 模块为您提供预构建的 native 二进制文件,因此这在某种程度上可能更具风险,但如果它很受欢迎(例如 ws ),那么我认为没有问题。 您还可以查看 NPM 发布者用户,该用户有时是 Oracle 等知名公司。
关于javascript - 我们如何信任 npm 模块?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39241124/