为什么 npm pip nuget 这些包管理器不在下载冷门包(下载数量 <300k)的时候弹出提示?经常弄错包名,不仅浪费了时间还很危险,长得像热门包的假包很多有恶意代码。
drymonfidelia · 27 天前 · 2662 次点击23 条回复 • 2024-10-08 10:05:00 +08:00
 |
1
weijancc 27 天前  31
哪里来的巨婴😅
|
 |
2
drymonfidelia OP 根据下载量好像确实不是很合理,想做坏事随便弄点肉鸡就能刷到 30 万
|
 |
3
censujiang 27 天前
😅😄😄
|
 |
4
lisxour 27 天前
下载量这个指标没有任何参考意义的
|
 |
5
uni 27 天前
有恶意代码的被发现会直接被删除吧
不过供应链攻击确实是个大问题,甚至 vscode 的插件都有可能会被下马 下载量不是一个好指标,如果有更好的提醒方式就好了 |
 |
6
Bijiabo 27 天前 5
可能你需要用这个指令,要求相关部门强力介入监管。以后发布 NPM 包要求实名认证,并且需要先申请软件著作权。
```sh npm install -g 反诈中心 ``` |
 |
7
shadowyue 27 天前
去饭店点菜,你认真看下菜单呗
|
 |
8
franktopplus 27 天前 1
你要对你的代码负责
|
 |
9
june4 27 天前
你可以做一个,这功能不太适合直接放到基础工具上,写个 npm 运行包装器就行
|
 |
10
moefishtang 27 天前
包管理器 apt 在找不到指定包名的时候会推荐相关包名
不过我觉得还是自己注意比较好 |
 |
11
CapNemo 27 天前
感觉单纯下载量不是好指标。我建议根据名称进行搜索,如果存在下载量与当前包的比值大于一定程度的包,则要求用户再次确认。
|
 |
12
1423 27 天前
谁来净化一下程序员圈子
|
 |
13
zxcslove 27 天前
这个还是靠社区自发跟随的黑名单提醒比较合理
|
 |
14
NoOneNoBody 27 天前
"我们 npm pip nuget 是需要管的"
|
 |
15
Insolitude 26 天前 via Android
确实,返回信息提供个包简介,官网和一些相近的包名,来个 2 次确认就行了。有的时候一下子记错了,直接安装了还是挺危险的
|
 |
16
xuanbg 26 天前
不会写代码可以不写的。真的,一个成人需要为自己的行为负责,而不是推给别人,让别人来喂你吃饭
|
 |
18
zoumouse 26 天前 2
楼上为什么好多人在喷?楼主说的其实算是供应链投毒一种,确实常见、危险而且暂时没有解决方案,是个很值得讨论的问题。
|
|
19
drymonfidelia OP @zoumouse V 站大部分人只在意形式主义安全,习惯就好
|
 |
20
qzydustin 25 天前
唯一的办法就是审核呗
|
 |
21
neoblackcap 25 天前
@drymonfidelia 你的需求不是没有人做,但是社区不好做这个事情,但是私有源提供者倒是很乐意提供这样的解决方案,关键是需要付费,以 Python 为例, 例如 anaconda, 以及 activestate 都是在做这个生意——提供可信的依赖管理。这些都是企业服务了
|
 |
22
krixaar 25 天前
@zoumouse #18 因为楼主这种单纯提醒下载量的建议对于恶意包来说如果有这种限制他们肯定会刷量,反而导致真正好用的冷门包没有量让人不敢下,相对来说没有建设性,就是促进内卷刷量。真正有用的解决方案,一是花钱人工审核让企业买单个人用户蹭着用,二是标准库做完善些,这两个方案大家心里都清楚,但都不是一句话两句话能搞定的。
|
 |
23
samnya 25 天前
先不说你这个需求是不是合理吧。假设真要实现的话,包管理器和仓库之间也不是强关联的。
基本上包管理器都支持自建私有仓库、镜像仓库等等非“官方”仓库,它也区分不出来哪个是所谓的官方。所以标注虚假包的这个活,需要由谁负责呢? 总不能说 npm 下载任何包的时候,都要去 npmjs 上面验一下吧。 |
Select Language