npm

太长了，读不下去了，如果你只是在寻找高水平的点，请参阅本帖的“TL；DR摘要和高水平点”部分。 最近，我对npmregistry感兴趣，因为它在管理所有JavaScript和Node的包的安全性方面起着关键作用。在注册了一个帐户并创建了一个示例包之后，我开始查看各种web端点，以了解我正在处理的是哪种系统。 在浏览各......

一个学术研究项目发现，数千名JavaScript开发人员正在为他们的npm帐户使用一个带有过期域的电子邮件地址，使他们的项目容易被劫持。 微软和北卡罗琳州立大学的研究人员去年进行了这项研究，分析了上传到Node Package Manager（npm）上的1630101个库的元数据。Node Package Mana......

一个学术研究项目发现，数千名JavaScript开发人员正在为他们的npm帐户使用一个带有过期域的电子邮件地址，使他们的项目容易被劫持。 微软和北卡罗琳州立大学的研究人员去年进行了这项研究，分析了上传到Node Package Manager（npm）上的1630101个库的元数据。Node Package Mana......

在 npm 开源代码存储库中发现了一个使用合法密码恢复工具的凭据窃取代码炸弹，它潜伏在 npm 开源代码存储库中，等待从该源提取代码的庞大应用程序群中植入。研究人员从 Windows 系统上的 Chrome 中捕获了恶意软件窃取凭据。密码窃取器是多功能的：它还可以侦听来自攻击者的命令和控制 (C2) 服务器的传入命令......

新的 npm 恶意软件已被发现通过使用 Windows 系统上的合法密码恢复工具从 Google Chrome 网络浏览器窃取凭据。此外，该恶意软件侦听来自攻击者 C2 服务器的传入连接并提供高级功能，例如屏幕和摄像头访问、目录列表、文件查找、文件上传和 shell 命令执行。正如 BleepingComputer ......

以下研究概述了当前使用的NetMask NPM包中发现的漏洞，目前由278,7222个其他项目使用。该漏洞已有9年。 由于此程序包非常令人难以置信，我会建议每个NodeJS开发人员检查他们的package.jsons以查看它们是否使用NetMask ...并立即升级！ 显然，大多数下载都......

NPM提供了一种简便的方法来发布和分发Node JS程序包，以实现代码依赖性以及全局命令行工具。本文演示了如何使用它来发布和分发用GoLang编写的二进制文件 我们最近将内部CLI工具从Node JS迁移到了Golang。在项目完成后，我们遇到了将CLI工具分发给我们的工程师团队的问题，而无需分发新的令牌集或公......

2016年，Sam Saccone发现了一个漏洞，该漏洞使对手在安装NPM软件包时可以运行任意脚本。 作为缓解措施，NPM联合创始人Laurie Voss建议： UI Drafter使用后者，因为它避免了每次都必须记住该标志。 但是该选项会禁用NPM＆＃34; scripts＆＃34;。 因此，我们最终有两种选择：......

＆＃34;背后的安全团队npm＆＃34; JavaScript库的存储库本周一删除了两个npm软件包，这些软件包包含恶意代码，这些恶意代码在从事JavaScript项目的开发人员的计算机上安装了远程访问木马（RAT）。 这两个软件包的名称分别是jdb.js和db-json.js。，它们都是由同一位作者创建的，......

NPM安全团队今天从NPM网站上删除了一个恶意JavaScript库，其中包含用于打开程序员计算机后门的恶意代码。 JavaScript库被命名为Twilio-npm，其恶意行为在上周末被Sonatype发现，Sonatype是一家监控公共软件包存储库的公司，将其作为其开发者安全操作(DevSecOps)服务的一部分......

🎉周二快乐发布！今天对NPM CLI团队来说是一个重要的里程碑--我们已经正式将[email protected]去掉了。如果您在过去的一年或更长时间里一直在关注这个版本，那么现在您会发现我们一直在努力为您带来这个版本。在过去的3个月里，随着我们加快了每周+发布的节奏，我们集中精力和决心开始解决测试版/RC窗口中的错误/反馈问题。 ......

订阅有关通过电子邮件和/或短信访问npmjs.com网站的问题的更新。您将在事件更新时收到电子邮件通知，并在任何时候收到NPM，Inc.的短信通知。创建或解决事件。 NPM爱你。这里有一些关于它做得有多好的信息。(您也可以在Twitter上的@npmstatus关注这些更新！)。 过去的事件

NPM的状态页-访问npmjs.com和安装作用域软件包时出现问题。

NPM生态系统似乎不太健康。如果您关心安全性、可靠性或长期维护，那么选择一个合适的包来使用几乎是不可能的-这是因为有130万个包可用，即使您找到一个文档记录良好且维护良好的包，它也可能依赖于数百个其他包，依赖关系树延伸到十个或更深的级别-作为一个开发人员，不可能验证所有的包。 我认为这是一个社会问题，而不仅仅是一个技......

我们是NPM，Inc.，Node Package Manager、NPM注册表和NPM CLI背后的公司。我们免费向社区提供这些工具，但我们的日常工作是为您这样的开发人员构建和销售有用的工具。 现在就开始免费，或者升级到NPM Pro，享受高级JavaScript开发体验，包括私有软件包等功能。 NPM受到全球110......

自从我们在2019年的最后一次更新以来，NPM已经发生了相当多的事情。我们早该更新npm v7的状态了。 尽管有一些巨大的令人分心的变化(有些不幸，有些非常幸运)，但开发工作一直在稳步进行。 昨天，Edward Thomson在GitHub卫星上演示了NPMv7中的一些特性。问答环节非常棒，很明显，你们中的许多人都对......

[主页]最近，我将我的静态十一站点移到了一个码头容器上。这是我在一段时间内制作的第一批码头图像之一，所以一开始效率很低。 来自nginx：1.17.10-alpineRUN apk add--update NodeJS npmRUN NPM install-g@11ty/leventyCOPY。/appWORKDIR......