제가 특히 신경 썼던 몇 가지 사항은 다음과 같습니다. - 별도의 개발 환경을 구축했습니다. 이 환경은 에이전트 기반 인프라를 사용하며, 조만간 여러 대의 개발 박스로 교체할 예정입니다. - 개발 환경에는 암호, GPG 키, SSH 키를 저장하지 않습니다. - 모든 CLI 도구는 PAT(개인 액세스 토큰)를 사용하여 읽기 전용(RO) 권한으로 관리합니다. - GitHub/Bitbucket/GitLab도 스코프가 지정된 PAT를 사용합니다. - Yarn v4 또는 UV를 사용하여 *새로운 패키지*를 제외할 수 있도록 합니다. - 암호가 *정말로* 필요한 경우 Apple 키체인에 저장하세요. 하지만 가급적 피하는 것이 좋습니다. - 무작위 바이너리를 설치하지 않는 별도의 웹 브라우징 환경을 구축하고, 이 환경에는 암호를 설정할 수 있습니다. 네, 다소 엄격한 방법이지만 안전을 유지하는 유일한 방법입니다.
이 기사는 기계로 번역되었습니다
원문 표시
Feross
@feross
North Korea is targeting npm maintainers -- not for crypto, but for write access to packages downloaded trillions of times a year.
Several Socket engineers were targeted in this campaign -- myself, @ljharb, @jdalton, and others. None of us fell for the bait. Unfortunately, the
Twitter에서
면책조항: 상기 내용은 작자의 개인적인 의견입니다. 따라서 이는 Followin의 입장과 무관하며 Followin과 관련된 어떠한 투자 제안도 구성하지 않습니다.
라이크
즐겨찾기에 추가
코멘트
공유
