Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/javascript/409.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
如何信任internet上的javascript开源库_Javascript_Security_Open Source_Malware - Fatal编程技术网
Fatal编程技术网
  • javascript/
  • 如何信任internet上的javascript开源库

如何信任internet上的javascript开源库

javascript security open-source

如何信任internet上的javascript开源库,javascript,security,open-source,malware,Javascript,Security,Open Source,Malware,实际上,我需要使用互联网上的一些JS库或包。但出于安全考虑,我对使用它们表示怀疑 例如,这个JS simplebar可以在github中找到。这很酷,节省了很多时间,但我怎么能相信呢?里面有恶意软件吗 有没有列出可信图书馆的网站 感谢您的建议如果您使用的是npm注册表,npm audit将扫描您安装的软件包以查找已知的漏洞。更多细节 显然,它不会检测未知的漏洞,因此,如果你真的有妄想症,那么自己阅读所有的源代码是绝对确定的唯一方法 频繁更新npm以及对包进行不频繁和受控的更新可以降低风险。检查

实际上,我需要使用互联网上的一些JS库或包。但出于安全考虑,我对使用它们表示怀疑

例如,这个JS simplebar可以在github中找到。这很酷,节省了很多时间,但我怎么能相信呢?里面有恶意软件吗

有没有列出可信图书馆的网站

感谢您的建议

如果您使用的是
npm
注册表,
npm audit
将扫描您安装的软件包以查找已知的漏洞。更多细节

显然,它不会检测未知的漏洞,因此,如果你真的有妄想症,那么自己阅读所有的源代码是绝对确定的唯一方法

频繁更新
npm
以及对包进行不频繁和受控的更新可以降低风险。

检查代码,以防代码不是太长或太复杂,或者有扫描服务器,比如但不确定它是否也适用于JS(URL可能适用于整个web)。它不是JavaScript,您可以针对任何语言的任何库提出相同的问题。归根结底,这是一个判断和接受某种风险的问题。没有列表,而且列表无论如何都是无用的,因为它在发布之前已经过时了。“那你为什么要相信公布名单的那个人呢?”有些人说,有一个名单:看看我的答案。当然,“谁看看守人”是一个显而易见的问题,但对大多数人来说,这不值得担心。(如果你从事金融或军事工作,这种情况显然会发生变化。)@Amadan有一个已知漏洞列表。这比安全代码列表更简单,也有很大不同。