javascript - 如何信任在互联网上找到的 javascript 开源库
问题描述
实际上,我需要使用一些在互联网上找到的 JS 库或包。但是出于安全原因,我对使用它们有疑问。
例如在 github 中找到的这个 JS simplebar。这很酷,节省了很多时间,但我怎么能相信它呢?里面有恶意软件吗?
有没有列出受信任库的网站?
谢谢你的建议
解决方案
如果您使用npm
注册表,npm audit
请扫描已安装的软件包以查找已知漏洞。更多细节在这里。
显然,它不会检测未知漏洞,所以如果你真的很偏执,自己阅读所有源代码是绝对确定的唯一方法。
对您的包裹进行频繁更新npm
和不频繁且受控的更新可降低风险。
推荐阅读
- html - 如何定位第一个