您好,
我从 JFrog 的 XRay 扫描器收到一份报告,称 discourse 2.0.20240904-0335 版本的基镜像在三个软件包中包含恶意代码:
然后我做了一些研究,也在 https://vulert.com 上找到了同名同版本的三个软件包的报告。
(我将在评论中添加此链接,因为帖子中不能超过 2 个链接)
您以前遇到过同样的问题吗?这些是 Discourse 还是其他软件包的发现,因为我在 npm.js 上找不到任何已报告的软件包?
非常感谢 
dialog-holder:1.0.0: dialog-holder (npm) 中的恶意代码 (vulert.com) 并链接到 OSV 在 github 上的数据
float-kit:1.0.0: float-kit (npm) 中的恶意代码 (vulert.com) 并链接到 OSV on github 的数据
custom-proxy:1.0.0: custom-proxy (npm) 中的恶意代码 (vulert.com) 并链接到 OSV on github 的数据
我们之前在 JFrog 上也遇到过类似的情况。这看起来是一个未作用域包的模糊名称,而不是一个实际问题。
Discourse 在其仓库中确实有一个名为 float-kit 的软件包,但这与 npmjs 上的 float-kit 无关。其他软件包的情况基本相同。
理想情况下,即使是这些本地软件包也应该被作用域化,但它们是从工作区引用的,因此它拉取的 1.0.0 版本来自其自己的仓库。
我没有看到任何来源推送,而 JFrog 在很多情况下只是查看名称和版本,因此它应该落入您的控制下的误报处理流程中。