2023-08-03 2269 阅读 实用干货 🌋 🔒️ 如何修改第三方npm包? 有这样一种场景:如果你在开发过程中,发现某个npm包有Bug,应该怎么办?第一选择当然是向原作者提issue,或者Fork该仓库代码,修改以后,提交合并请求。但这种情况有个严重的问题,就是耗时,如果遇到严格的作者,或者不活跃的作者,时间线可能会拉得很长。你的项目未必能等这么长时间。还有一种可能是,你
2023-08-01 2218 阅读 值得一看 🔍️ 🚑️ npm前员工自曝生态内部存在严重bug | 附避坑指南 最近,npm前工程经理DarcyClarke在一份报告中指出,npm注册没有根据相应tarball包的内容验证清单信息。Clarke说,这会导致双重事实来源,攻击者可以利用它来隐藏脚本或依赖项。这一点影响很大。例如,npm上有个包可能会显示它没有依赖项,而实际上它有。同样,它显示的包名或版本可能与p