Javascript 如何判断Github代码repo是否包含恶意代码?
我正在考虑增加我的项目 安装 开始Javascript 如何判断Github代码repo是否包含恶意代码?,javascript,security,github,Javascript,Security,Github,我正在考虑增加我的项目 安装 开始 import Badge from "react-shields-badge"; import "react-shields-badge/dist/react-shields-badge.css"; <Badge data={["npm", "v1.0.0"]} /> 从“反应盾徽章”导入徽章; 导入“react shields badge/dist/react shields badge.css”; 在我这么做之前,我如何确保回购协议中没有
import Badge from "react-shields-badge";
import "react-shields-badge/dist/react-shields-badge.css";
<Badge data={["npm", "v1.0.0"]} />
从“反应盾徽章”导入徽章;
导入“react shields badge/dist/react shields badge.css”;
在我这么做之前,我如何确保回购协议中没有恶意代码可能会损坏我的应用程序或做我不想做的事情?(它在NPM上只有一次下载。)
有没有关于这个的网站?或者我可以从终端运行的脚本、程序或命令
我如何确保回购协议中没有恶意代码可能会损坏我的应用程序或做任何我不想做的事情
那是不可能的。软件(甚至人类)怎么知道你打算做什么
有没有关于这个的网站
不,没有
或者我可以从终端运行的脚本、程序或命令
啊,是的,神奇的read-my-mind.js脚本
计算机只是按照我们告诉他们的去做。恶意的概念不是计算机和代码所关心的。您可能会遇到这样的情况:即使只是一个自述文件,也会将原本无害的代码变成恶意代码。例如,自述文件可能对rm-rf的所有内容都有说明,无论出于什么原因,您或其他人都会遵循它。这甚至不在代码中,而且相当危险
好消息是您可以自己审核代码。如果您想确保没有任何更改,也可以在版本控制中签入
节点单元模块
。(我们确实有NPM和Thread LockFile用于此,但确保安装了所有模块的完全相同的副本是解决更改未经审计的依赖关系问题的另一种方法。)没有可靠的方法自动判断。如果你想确定的话,你可以自己读。(不过,请阅读软件包的内容,因为这是您安装的内容–而不是GitHub上的代码。npm info-dist.tarball
)@Ry-收到。问题是,这个/dist文件中有模糊代码。我把它穿过一个美容师,有一条奇怪的线引起了我的注意。但没有什么绝对有害的(只是因为我不能真正说出我在读什么,因为混淆)。有什么想法吗?奇怪的台词是什么?但是是的,这是不幸的缩小。如果您信任项目的依赖项(包括devDependencies),则可以从GitHub克隆/审核它,并生成相同的文件进行比较。@Mowzer哪一行?你能具体地提出一个新的问题吗?@Brad:这句话是SECRET\u don\u NOT\u PASS\u THIS\u或\u you\u WILL\u firm\u
import Badge from "react-shields-badge";
import "react-shields-badge/dist/react-shields-badge.css";
<Badge data={["npm", "v1.0.0"]} />