Javascript的生态依赖npm包node-ipc由于其作者抗议动机,故意引入安全漏洞,需要使用这个node-ipc包的Vue.js程序员因而受到影响。
2022年3月15日,流行的Vue.js前端JavaScript框架的用户开始经历一场只能被描述为影响npm生态系统的供应链攻击。
这一安全事件涉及到一个维护者破坏磁盘上的文件的破坏性行为,以及他们试图以不同的形式隐藏和重述这种蓄意的破坏行为。
虽然这是一起以抗议为动机的攻击,但它突出了软件供应链面临的一个更大的问题:
你的代码中的横向依赖会对你的安全产生巨大影响。
由于担心未来的代码更新可能使用户处于危险之中,建议完全避免使用node-ipc npm包。
如果这个npm包被捆绑在你的项目中,作为你正在构建的应用程序的一部分,那么我们建议你使用npm包管理器功能,完全覆盖被破坏的版本,并将横向依赖关系固定为已知的好。
如果你使用npm作为包管理器,你可以在你的package.json文件中添加以下内容,明确地只允许node-ipc的良性版本。
"overrides": { |