报告 npm 包中的恶意软件
如果您在 npm 包(您的或其他人的)中发现恶意软件,您可以将其报告给 npm 安全团队,以帮助保持 Javascript 生态系统的安全。
注意:npm 包中的漏洞应直接报告给包维护者。我们强烈建议您私下进行。您可以使用
npm owner ls <package-name>
找到有关包维护者的联系信息。如果源代码托管在 GitHub 上,请参考存储库的 安全政策。
npm Security 如何处理恶意软件
恶意软件是 npm 安全的主要问题,我们已经从注册表中删除了数百个恶意包。对于我们收到的每个恶意软件报告,npm Security 都会采取以下措施:
- 确认报告的有效性。
- 从注册表中删除包。
- 发布包的安全占位符。
- 发布提醒社区的安全公告。
作为我们流程的一部分,我们确定是否应该禁止上传包的用户账户。我们还会在适用的情况下与第三方合作。
报告恶意软件
- 收集有关恶意软件的信息。
- 在包页面上,单击报告恶意软件。
- 在恶意软件报告页面上,提供有关您自己和恶意软件的信息:
- 姓名:你的名字。
- 电子邮件地址:npm 安全团队可以用来与您联系的电子邮件地址。
- 包名字:包含恶意软件的包的名称。
- 包版本:包含恶意软件的包的版本。包括所有受影响的版本。
- 恶意软件描述:恶意软件及其影响的简要说明。包括有助于我们的研究人员确认报告的参考、提交和/或代码示例。
- 单击发送报告。