以下几点我一直很注意: - 使用独立的开发机器。这台机器运行著代理基础设施。不久后应该会被其他开发伺服器取代。 - 开发机器上没有密码、GPG 金钥和 SSH 金钥。 - 所有命令列工具都使用具有唯读权限的 PAT 进行作用域控制。 - GitHub、Bitbucket 和 GitLab 都使用作用域 PAT。 - 使用 Yarn v4 或 uv,它们允许你排除*新软体包*。 - 如果你*真的*需要密码,可以储存在 Apple Keychain 中。但我建议尽量避免这样做。 - 使用独立的浏览机器,不要在上面安装任何随机二进位文件,这台机器可以设定密码。 是的,这很严苛,但这是唯一确保安全的方法。
本文为机器翻译
展示原文
Feross
@feross
North Korea is targeting npm maintainers -- not for crypto, but for write access to packages downloaded trillions of times a year.
Several Socket engineers were targeted in this campaign -- myself, @ljharb, @jdalton, and others. None of us fell for the bait. Unfortunately, the
来自推特
免责声明:以上内容仅为作者观点,不代表Followin的任何立场,不构成与Followin相关的任何投资建议。
喜欢
收藏
评论
分享
