基本上,你应该假设没有什么安全,这同样行不通。
就在几天前,人们发现一些 ESLint Prettier 包的 NPM 账户的开发者之一遭到了入侵,他们发布了一些流行包的新受损版本:
这些包随后被其他包引用,因为许多人声称你应该始终更新到最新版本。
看到这个帖子后,我建议了一个功能,在更新插件/主题组件时引入签名验证:Plugin and theme component signing
这并不能阻止受损的密钥,但至少能让供应链的_一部分_更值得信赖。最终,仍然有可能引入受损的第三方库。附加依赖项并不是真正可见的。