我正在考虑将this repository添加到我的项目中。
安装npm i react-shields-badge --save
yarn add react-shields-badge --save
import Badge from "react-shields-badge";
import "react-shields-badge/dist/react-shields-badge.css";
<Badge data={["npm", "v1.0.0"]} />
在执行此操作之前,如何确保该存储库中没有恶意代码可能损坏我的应用程序或执行我不打算执行的任何操作? (在NPM上只有一个下载。)
有任何网站吗?还是我可以在终端上运行的脚本,程序或命令?
答案 0 :(得分:1)
我如何确保该存储库中没有恶意代码可能损坏我的应用程序或执行我不打算做的任何事情?
那是不可能的。软件(甚至人类)怎么知道您打算做什么?
有任何网站吗?
不,没有。
或者说我可以在终端上运行的脚本,程序或命令?
啊,是的,神奇的read-my-mind.js脚本...
计算机只是按照我们告诉他们的做。恶意的概念不是计算机和代码所关心的。您可能会遇到这样的情况,即使是一个README文件也会将原本无害的代码转换为恶意代码。例如,自述文件可能会说rm -rf一切,无论出于何种原因,您或其他人都会遵循它。那甚至不在代码中,而且非常危险。
好消息是您可以自己审核代码。如果要确保没有任何更改,还可以在版本控制中签入node_modules。 (我们确实有NPM和Yarn锁定文件,但是仅确保安装所有模块的完全相同的副本是解决更改未经审计的权限的另一种方法。)