目录
假设你正在构建一个 Express.js 应用程序。你需要一个 cookie 解析中间件。但你没有安装原版的 cookie-parser 包,而是安装了 express-cookie-parser,这是一个恶意包,虽然已从 npm 仓库中移除。我们开发者希望在心流状态中完成任务。我们讨厌离开终端和 IDE 去检查要安装的包是否是恶意的。这种行为被恶意行为者利用,通过 typosquatting 和其他供应链攻击来危害开发者。为了保护软件供应链,我们需要在安装时保护开发者免受恶意包的侵害。这就是 Package Manager Guard (PMG) 的用武之地。
什么是 PMG?
PMG 是一款在安装时保护开发者免受恶意包侵害的工具。它是一个 CLI 工具,封装了 npm、npm、pnpm 等流行的包管理器。它通过在安装时扫描包来防止安装恶意包。
如何使用 PMG?
安装 PMG 最简单的方法是使用 homebrew。其他安装选项请参阅 PMG GitHub 仓库。
shell
brew install safedep/tap/pmg在你的 NPM 项目中,你现在可以使用 pmg 安装任何包,作为安全守护。
shell
pmg npm install reactPMG 的目标是尽可能隐藏和不打扰开发者,同时保护他们免受安装恶意包的侵害。为了获得无缝体验,将 PMG 添加为包管理器的别名。
shell
alias npm="pmg npm"
alias pnpm="pmg pnpm"就这样!PMG 现在将保护你免受安装恶意包的侵害。
演示
Bug 和反馈
如果你发现任何 bug 或有任何反馈,请在 PMG GitHub 仓库 上提交 issue。你也可以加入 SafeDep 社区 Discord 讨论 PMG 和其他 SafeDep 产品。
- pmg
- malware
- security
SafeDep 博客最新动态
关注以获取关于开源安全与工程的最新的更新和见解。