1.运行该代码实际上是不可能的 ， 它不构成威胁 ， 但它看起来确实很吓人 。
2.我打算把这块不是战争的模块标记为抗议软件 ， 只是为了明确说明它是这样的 。
其中 ， RIAEvangelist维护着40多个其他npm包 ， 下载量达数亿 。

文章图片

现实来看 ， 开源生态耗费了无数开发者的时间与精力 ， 才慢慢壮大起来 。 因自己的个人观点和做法 ， 牵扯其背后的开源开发者们和普通用户 ， 无疑之中严重破坏了开源生态的信任 ， RIAEvangelist所带来的影响也是无法估计的 。
看了有关问题的讨论 ， RIAEvangelist试图在扭曲事实 ， 还说API Key是无效的 。 但经另一位开源开发者MidSpike实测后 ， 这个API Key是有效的 。
【以反战之名，向开源项目“投毒”？知名 NPM 包作者注入恶意代码，只为一个文件名】
文章图片


文章图片

脆弱的供应链 ， 需要每一个社区成员守护
从彼时的Log4j2到现在的node-ipc ， 这不禁让人担心一个问题 ， 那就是开源软件供应链安全问题 ， 越是庞大的项目在供应链安全方面越是脆弱 。
对此 ， 有不少网友建议开发一种代码审查机制 。 如果审查机制建立 ， 包含恶意代码的包将会进一步减少 ， 同时开源社区的安全更有保障 。 除此以外 ， 广大网民还需要有反恶意行为的意识 ， 维护“绿色”开源 。
开源社理事长庄表伟直接表示：我们需要建立一种开源世界的反分裂共识 。
同时 ， 开源安全扫描平台snyk中也给出了一些建议：“由于担心未来的代码更新可能会给用户带来风险 ， 我们建议完全避免使用npm包 。 如果此npm包作为您正在构建的应用程序的一部分捆绑在您的项目中 ， 那么我们建议您使用npm包管理器功能来完全覆盖被破坏的版本并将传递依赖关系固定为known good 。 ”以此来解决用户的担忧 。
这件事让多少用户痛恨RIAEvangelist ， 破坏了多少人所建立的心血 。 一代人应该有一代人的担当 ， 广大用户应该奉献自己的力量 ， 守护好这个社区 。 如果开源社区不加以整治 ， 未来又会有多少个这样的“包”呢？开源社区的成员还会越来越多吗？对于这件事 ， 你有什么看法吗？
参考链接：
2.https://github.com/vuejs/vue-cli/issues/7054
3.https://snyk.io/blog/peacenotwar-malicious-npm-node-ipc-package-vulne rability/
END
《 新程序员001-004 》全面上市 ， 对话世界级大师 ， 报道中国IT行业创新创造
?滴滴6月或发布造车计划；英特尔顶级专家Mike Burrows跳槽AMD；Android 13开发者预览版2发布|极客头条
?俄罗斯 IT 存储空间告急 ， 未来 2 月或将耗尽？
? 宁愿“大小周”、每天只写 200 行代码、月薪 8k-17k 人群再涨！ 揭晓中国开发者真实现状
—点这里 ↓↓↓记得关注标星哦~—
一键三连 「分享」「点赞」「在看」
成就一亿技术人