當(dāng)前位置：系統(tǒng)之家 > IT快訊 > 詳細(xì)頁(yè)面

GitHub Actions 使用新的圖標(biāo)來(lái)標(biāo)記 npm 包，可驗(yàn)證溯源

編輯：alear 2023-04-20 11:50:13 來(lái)源于：IT之家

【CAD/動(dòng)畫/媒體制作】Windows11 23H2 64位專業(yè)工作站版

　　系統(tǒng)之家 4 月 20 日最新消息，GitHub 為了提高安全性，在 GitHub Actions 上使用新的圖標(biāo)來(lái)標(biāo)記 npm 包，標(biāo)明其出處并附上相應(yīng)的鏈接。使用 JavaScript 的開(kāi)發(fā)人員可以通過(guò) npm 包管理器，調(diào)用數(shù)千個(gè)包，為項(xiàng)目添加各種新特性、新功能。

GitHub Actions 使用新的圖標(biāo)來(lái)標(biāo)記 np

　　開(kāi)發(fā)者在推進(jìn)項(xiàng)目過(guò)程中，雖然可以找到合適的 npm 包，但并不知道該包是否根據(jù)源代碼構(gòu)建的。通過(guò)引入出處，npm 包可驗(yàn)證溯源。

　　對(duì)于 GitHub 制定這項(xiàng)調(diào)整的動(dòng)機(jī)，系統(tǒng)之家從官方新聞稿中獲悉，攻擊者在過(guò)去幾年時(shí)間里，對(duì) UAParser.js、Command-Option-Argument 和 rc 等流行的 npm 包進(jìn)行了攻擊。

　　這些攻擊不會(huì)直接破壞源代碼，但開(kāi)發(fā)者如果使用經(jīng)過(guò)修改、包含惡意的包，可能會(huì)影響到項(xiàng)目和消費(fèi)者。