软件工程领域最大的秘密就是没人会进行审计,无论公司规模大小,情况都一样。你可以制定流程、规则和持续集成工具来捕获特定问题,进行包分析、二进制分析,甚至把网络安全人员纳入员工编制——但总会有人直接用 `npm i virus` 命令来检测病毒。
本文为机器翻译
展示原文
Feross
@feross
03-31
🚨 CRITICAL: Active supply chain attack on axios -- one of npm's most depended-on packages.
The latest axios@1.14.1 now pulls in plain-crypto-js@4.2.1, a package that did not exist before today. This is a live compromise.
This is textbook supply chain installer malware. axios
来自推特
免责声明:以上内容仅为作者观点,不代表Followin的任何立场,不构成与Followin相关的任何投资建议。
喜欢
收藏
评论
分享
