报告 npm 包中的恶意软件

如果您在 npm 包(您的或其他人的)中发现恶意软件,您可以将其报告给 npm 安全团队,以帮助保持 Javascript 生态系统的安全。

注意:npm 包中的漏洞应直接报告给包维护者。我们强烈建议您私下进行。您可以使用 npm owner ls <package-name> 找到有关包维护者的联系信息。如果源代码托管在 GitHub 上,请参考存储库的 安全政策

npm Security 如何处理恶意软件

恶意软件是 npm 安全的主要问题,我们已经从注册表中删除了数百个恶意包。对于我们收到的每个恶意软件报告,npm Security 都会采取以下措施:

  1. 确认报告的有效性。
  2. 从注册表中删除包。
  3. 发布包的安全占位符。
  4. 发布提醒社区的安全公告。

作为我们流程的一部分,我们确定是否应该禁止上传包的用户账户。我们还会在适用的情况下与第三方合作。

报告恶意软件

  1. 收集有关恶意软件的信息。
  2. 在包页面上,单击报告恶意软件。
  3. 在恶意软件报告页面上,提供有关您自己和恶意软件的信息:
    • 姓名:你的名字。
    • 电子邮件地址:npm 安全团队可以用来与您联系的电子邮件地址。
    • 包名字:包含恶意软件的包的名称。
    • 包版本:包含恶意软件的包的版本。包括所有受影响的版本。
    • 恶意软件描述:恶意软件及其影响的简要说明。包括有助于我们的研究人员确认报告的参考、提交和/或代码示例。
  4. 单击发送报告。