Một vài điều tôi đã cân nhắc kỹ lưỡng: - Máy phát triển riêng biệt. Máy này có cơ sở hạ tầng agent. Sẽ sớm được thay thế bằng các máy chủ phát triển chuyên dụng. - Máy phát triển không lưu trữ mật khẩu, khóa GPG, khóa SSH. - Tất cả các công cụ dòng lệnh đều được quản lý bằng PAT với quyền chỉ đọc. - GitHub/Bitbucket/GitLab sử dụng PAT có phạm vi. - Sử dụng Yarn v4 hoặc UV cho phép bạn loại trừ các gói *mới*. - Nếu bạn *thực sự* cần mật khẩu, hãy lưu trữ chúng trong Apple Keychain. Nhưng tôi khuyên bạn nên tránh làm vậy. - Máy tính riêng để duyệt web, nơi bạn không cài đặt các tệp nhị phân ngẫu nhiên; máy này có thể lưu trữ mật khẩu. Vâng, điều này có vẻ hà khắc nhưng đây là cách duy nhất để đảm bảo an toàn.
Bài viết này được dịch máy
Xem bản gốc
Feross
@feross
North Korea is targeting npm maintainers -- not for crypto, but for write access to packages downloaded trillions of times a year.
Several Socket engineers were targeted in this campaign -- myself, @ljharb, @jdalton, and others. None of us fell for the bait. Unfortunately, the
Từ Twitter
Tuyên bố từ chối trách nhiệm: Nội dung trên chỉ là ý kiến của tác giả, không đại diện cho bất kỳ lập trường nào của Followin, không nhằm mục đích và sẽ không được hiểu hay hiểu là lời khuyên đầu tư từ Followin.
Thích
Thêm vào Yêu thích
Bình luận
Chia sẻ
Nội dung liên quan
