如果你在 npm 包(无论是你自己的还是他人的)中发现恶意软件,你可以将其报告给 npm 安全团队,以帮助维护 JavaScript 生态系统的安全。
🌐 If you find malware in an npm package (either yours or someone else's), you can report it to the npm Security team to help keep the JavaScript ecosystem safe.
注意: npm 包中的漏洞应直接报告给包维护者。我们强烈建议私下进行此操作。你可以使用 npm owner ls <package-name> 找到包维护者的联系信息。如果源代码托管在 GitHub 上,请参阅仓库的 安全策略。
🌐 How npm Security handles malware
恶意软件是 npm 安全的主要关注点,我们已经从注册表中移除了数百个恶意软件包。对于我们收到的每一份恶意软件报告,npm 安全都会采取以下措施:
🌐 Malware is a major concern for npm Security and we have removed hundreds of malicious packages from the registry. For every malware report we receive, npm Security takes the following actions:
作为我们流程的一部分,我们会确定上传该软件包的用户账户是否应被封禁。在适用情况下,我们也会与第三方合作。
🌐 As part of our process we determine whether the user account who uploaded the package should be banned. We also cooperate with 3rd parties when applicable.
🌐 Reporting malware