以下幾點我一直很注意: - 使用獨立的開發機器。這台機器運行著代理基礎設施。不久後應該會被其他開發伺服器取代。 - 開發機器上沒有密碼、GPG 金鑰和 SSH 金鑰。 - 所有命令列工具都使用具有唯讀權限的 PAT 進行作用域控制。 - GitHub、Bitbucket 和 GitLab 都使用作用域 PAT。 - 使用 Yarn v4 或 uv,它們允許你排除*新軟體包*。 - 如果你*真的*需要密碼,可以儲存在 Apple Keychain 中。但我建議盡量避免這樣做。 - 使用獨立的瀏覽機器,不要在上面安裝任何隨機二進位文件,這台機器可以設定密碼。 是的,這很嚴苛,但這是唯一確保安全的方法。
本文為機器翻譯
展示原文
Feross
@feross
North Korea is targeting npm maintainers -- not for crypto, but for write access to packages downloaded trillions of times a year.
Several Socket engineers were targeted in this campaign -- myself, @ljharb, @jdalton, and others. None of us fell for the bait. Unfortunately, the
來自推特
免責聲明:以上內容僅為作者觀點,不代表Followin的任何立場,不構成與Followin相關的任何投資建議。
喜歡
收藏
評論
分享
