保障 npm 安全是基本要求(访谈)
The Change Log 播客对话 ESLint 创建者 Nicholas Zakis,探讨 NPM 安全问题。Nicholas 批评 GitHub 对 NPM 安全问题的回应不足,仅将责任推给维护者,建议若包添加 pre/post install 脚本应强制大版本号升级。2025 年 9 月单月就有 500 个 NPM 包被攻击,JSR 替代方案也因资源问题放弃。Nicholas 认为除非发生灾难性安全事件,否则 GitHub 不太可能大幅增加投入。
The Change Log 播客对话 ESLint 创建者 Nicholas Zakis,探讨 NPM 安全问题。Nicholas 批评 GitHub 对 NPM 安全问题的回应不足,仅将责任推给维护者,建议若包添加 pre/post install 脚本应强制大版本号升级。2025 年 9 月单月就有 500 个 NPM 包被攻击,JSR 替代方案也因资源问题放弃。Nicholas 认为除非发生灾难性安全事件,否则 GitHub 不太可能大幅增加投入。