大厂技术  高级前端  Node进阶

点击上方 程序员成长指北，关注公众号

回复1，加入高级Node交流群

最近一年，npm 频发模块安全问题，让我们防不胜防。作为前端或者后端开发者，考虑 npm 安全性是很重要的。开源代码的安全审计使我们在应用安全中很重要的一部分，而 npm 包安全应该是首要关注的问题。正如我们过去一年看到的，npm 甚至 npm 命令行工具都是易受攻击的。

Synk 作为 Node.js 安全服务商，针对开源维护人员和开发人员的 npm 安全性和工作效率的平衡，整理了一份备忘录。让我们从 10 个 npm 安全最佳实践列表开始。

1. 不要把秘钥发到 npm 上

2. 使用 lockfile

3. 通过 --ignore-scripts 来降低受攻击的几率

4. 评估 npm 项目的健康度

5. 检查依赖的开源项目的缺陷

6. 使用本地 npm 代理

7. 负责任地披露安全漏洞

8. 开启两步验证

9. 使用 npm 作者 token

10. 理解模块命名约定和 Typosquatting 攻击

每一条的具体内容，可以参见原文。另外，可以在原文下载备忘录，打出来贴在工位上，实时提醒自己要注意安全：）

Node 社群


我组建了一个氛围特别好的 Node.js 社群，里面有很多 Node.js小伙伴，如果你对Node.js学习感兴趣的话（后续有计划也可以），我们可以一起进行Node.js相关的交流、学习、共建。下方加 考拉 好友回复「Node」即可。

   “分享、点赞、在看” 支持一波👍