軟件工程領域最大的秘密就是沒人會進行審計,無論公司規模大小,情況都一樣。你可以制定流程、規則和持續集成工具來捕獲特定問題,進行包分析、二進制分析,甚至把網絡安全人員納入員工編制——但總會有人直接用 `npm i virus` 命令來檢測病毒。
本文為機器翻譯
展示原文
Feross
@feross
03-31
🚨 CRITICAL: Active supply chain attack on axios -- one of npm's most depended-on packages.
The latest axios@1.14.1 now pulls in plain-crypto-js@4.2.1, a package that did not exist before today. This is a live compromise.
This is textbook supply chain installer malware. axios
來自推特
免責聲明:以上內容僅為作者觀點,不代表Followin的任何立場,不構成與Followin相關的任何投資建議。
喜歡
收藏
評論
分享
