javascript - 如何信任在互联网上找到的 javascript 开源库

首页 > 解决方案 > 如何信任在互联网上找到的 javascript 开源库

问题描述

实际上，我需要使用一些在互联网上找到的 JS 库或包。但是出于安全原因，我对使用它们有疑问。

例如在 github 中找到的这个 JS simplebar。这很酷，节省了很多时间，但我怎么能相信它呢？里面有恶意软件吗？

有没有列出受信任库的网站？

谢谢你的建议

标签： javascriptsecuritymalware

解决方案

如果您使用npm注册表，npm audit请扫描已安装的软件包以查找已知漏洞。更多细节在这里。

显然，它不会检测未知漏洞，所以如果你真的很偏执，自己阅读所有源代码是绝对确定的唯一方法。

对您的包裹进行频繁更新npm和不频繁且受控的更新可降低风险。

推荐阅读

html - 如何定位第一个，但不是第一个

按预期选择表格“tabid”的第一行。然而，第二个表的第一行也被选中，这是我不想要的。

batch-file - 从 .bat 文件运行多行
groovy - 在 groovy spock 框架中更新地图
testing - 开玩笑忽略除 1 个包之外的所有 node_modules
grails - Grails 4：自定义域模型编组器在 Grails 4 上不起作用
html - 带有“Honey Script”字体文本的跨度没有任何使用字体的高度。怎么修？
python - 如何编写包含 HTML 实体的 XPath 查询？
python - 来自不同（测试）文件的一个代码数据与一个文件中的所有数据有何不同？
python - 如何使用 Python 点击 Spotify Play 按钮
regex - {First_name 和 First_name Last_name} 模式的正则表达式解决方案：