如何信任internet上的javascript开源库
实际上,我需要使用互联网上的一些JS库或包。但出于安全考虑,我对使用它们表示怀疑 例如,这个JS simplebar可以在github中找到。这很酷,节省了很多时间,但我怎么能相信呢?里面有恶意软件吗 有没有列出可信图书馆的网站如何信任internet上的javascript开源库,javascript,security,open-source,malware,Javascript,Security,Open Source,Malware,实际上,我需要使用互联网上的一些JS库或包。但出于安全考虑,我对使用它们表示怀疑 例如,这个JS simplebar可以在github中找到。这很酷,节省了很多时间,但我怎么能相信呢?里面有恶意软件吗 有没有列出可信图书馆的网站 感谢您的建议如果您使用的是npm注册表,npm audit将扫描您安装的软件包以查找已知的漏洞。更多细节 显然,它不会检测未知的漏洞,因此,如果你真的有妄想症,那么自己阅读所有的源代码是绝对确定的唯一方法 频繁更新npm以及对包进行不频繁和受控的更新可以降低风险。检查
感谢您的建议如果您使用的是
npm
注册表,npm audit
将扫描您安装的软件包以查找已知的漏洞。更多细节
显然,它不会检测未知的漏洞,因此,如果你真的有妄想症,那么自己阅读所有的源代码是绝对确定的唯一方法
频繁更新
npm
以及对包进行不频繁和受控的更新可以降低风险。检查代码,以防代码不是太长或太复杂,或者有扫描服务器,比如但不确定它是否也适用于JS(URL可能适用于整个web)。它不是JavaScript,您可以针对任何语言的任何库提出相同的问题。归根结底,这是一个判断和接受某种风险的问题。没有列表,而且列表无论如何都是无用的,因为它在发布之前已经过时了。“那你为什么要相信公布名单的那个人呢?”有些人说,有一个名单:看看我的答案。当然,“谁看看守人”是一个显而易见的问题,但对大多数人来说,这不值得担心。(如果你从事金融或军事工作,这种情况显然会发生变化。)@Amadan有一个已知漏洞列表。这比安全代码列表更简单,也有很大不同。