产品咨询:4000 258 365
|
申请产品演示
|
产品咨询:4000 258 365
|
申请产品演示
|
根据一项研究,npm js 库生态系统比大多数人想象的更相互交织。德国的研究人员分析了(pdf)npm 生态系统的依赖图,他们下载了 2018 年 4 月前发布的所有 npm js 包的元数据,创建了一幅巨大的依赖图。
研究人员还分析了相同包的不同版本,历史版本,以及包维护者和已知安全漏洞。研究人员想知道,入侵一名或多名维护者的帐号、一个包或多个包的漏洞对 npm 生态系统会有多大影响,以及一次影响成千上万的项目的安全事故临界点。
研究人员发现,临界点很容易达到,因为一个 npm 包有着异常高数量的依赖,平均一个包加载了 39 名不同维护者的 79 个第三方包。
一些流行的包使用了 100 多名维护者写的代码。研究人员发现,只要入侵 20 名最有影响力的包维护者帐号就可能危及半数 npm 生态系统。
试用申请
