V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
drymonfidelia
V2EX  ›  程序员

为什么 npm pip nuget 这些包管理器不在下载冷门包(下载数量 <300k)的时候弹出提示?经常弄错包名,不仅浪费了时间还很危险,长得像热门包的假包很多有恶意代码。

  •  
  •   drymonfidelia · 56 天前 · 2740 次点击
    这是一个创建于 56 天前的主题,其中的信息可能已经有所发展或是发生改变。
    23 条回复    2024-10-08 10:05:00 +08:00
    weijancc
        1
    weijancc  
       55 天前   ❤️ 31
    哪里来的巨婴😅
    drymonfidelia
        2
    drymonfidelia  
    OP
       55 天前
    根据下载量好像确实不是很合理,想做坏事随便弄点肉鸡就能刷到 30 万
    censujiang
        3
    censujiang  
       55 天前
    😅😄😄
    lisxour
        4
    lisxour  
       55 天前
    下载量这个指标没有任何参考意义的
    uni
        5
    uni  
       55 天前
    有恶意代码的被发现会直接被删除吧
    不过供应链攻击确实是个大问题,甚至 vscode 的插件都有可能会被下马
    下载量不是一个好指标,如果有更好的提醒方式就好了
    Bijiabo
        6
    Bijiabo  
       55 天前   ❤️ 5
    可能你需要用这个指令,要求相关部门强力介入监管。以后发布 NPM 包要求实名认证,并且需要先申请软件著作权。
    ```sh
    npm install -g 反诈中心
    ```
    shadowyue
        7
    shadowyue  
       55 天前
    去饭店点菜,你认真看下菜单呗
    franktopplus
        8
    franktopplus  
       55 天前   ❤️ 1
    你要对你的代码负责
    june4
        9
    june4  
       55 天前
    你可以做一个,这功能不太适合直接放到基础工具上,写个 npm 运行包装器就行
    moefishtang
        10
    moefishtang  
       55 天前
    包管理器 apt 在找不到指定包名的时候会推荐相关包名
    不过我觉得还是自己注意比较好
    CapNemo
        11
    CapNemo  
       55 天前
    感觉单纯下载量不是好指标。我建议根据名称进行搜索,如果存在下载量与当前包的比值大于一定程度的包,则要求用户再次确认。
    1423
        12
    1423  
       55 天前
    谁来净化一下程序员圈子
    zxcslove
        13
    zxcslove  
       55 天前
    这个还是靠社区自发跟随的黑名单提醒比较合理
    NoOneNoBody
        14
    NoOneNoBody  
       55 天前
    "我们 npm pip nuget 是需要管的"
    Insolitude
        15
    Insolitude  
       55 天前 via Android
    确实,返回信息提供个包简介,官网和一些相近的包名,来个 2 次确认就行了。有的时候一下子记错了,直接安装了还是挺危险的
    xuanbg
        16
    xuanbg  
       55 天前
    不会写代码可以不写的。真的,一个成人需要为自己的行为负责,而不是推给别人,让别人来喂你吃饭
    Tidal
        17
    Tidal  
       54 天前
    @Bijiabo 再加一个工信部备案与公安备案
    zoumouse
        18
    zoumouse  
       54 天前   ❤️ 2
    楼上为什么好多人在喷?楼主说的其实算是供应链投毒一种,确实常见、危险而且暂时没有解决方案,是个很值得讨论的问题。
    drymonfidelia
        19
    drymonfidelia  
    OP
       54 天前
    @zoumouse V 站大部分人只在意形式主义安全,习惯就好
    qzydustin
        20
    qzydustin  
       54 天前
    唯一的办法就是审核呗
    neoblackcap
        21
    neoblackcap  
       54 天前
    @drymonfidelia 你的需求不是没有人做,但是社区不好做这个事情,但是私有源提供者倒是很乐意提供这样的解决方案,关键是需要付费,以 Python 为例, 例如 anaconda, 以及 activestate 都是在做这个生意——提供可信的依赖管理。这些都是企业服务了
    krixaar
        22
    krixaar  
       54 天前
    @zoumouse #18 因为楼主这种单纯提醒下载量的建议对于恶意包来说如果有这种限制他们肯定会刷量,反而导致真正好用的冷门包没有量让人不敢下,相对来说没有建设性,就是促进内卷刷量。真正有用的解决方案,一是花钱人工审核让企业买单个人用户蹭着用,二是标准库做完善些,这两个方案大家心里都清楚,但都不是一句话两句话能搞定的。
    samnya
        23
    samnya  
       54 天前
    先不说你这个需求是不是合理吧。假设真要实现的话,包管理器和仓库之间也不是强关联的。
    基本上包管理器都支持自建私有仓库、镜像仓库等等非“官方”仓库,它也区分不出来哪个是所谓的官方。所以标注虚假包的这个活,需要由谁负责呢?
    总不能说 npm 下载任何包的时候,都要去 npmjs 上面验一下吧。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2578 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 05:26 · PVG 13:26 · LAX 21:26 · JFK 00:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.