报告 npm 包中的恶意软件

如果您在 npm 包（您的或其他人的）中发现恶意软件，您可以将其报告给 npm 安全团队，以帮助保持 Javascript 生态系统的安全。

注意：npm 包中的漏洞应直接报告给包维护者。我们强烈建议您私下进行。您可以使用 npm owner ls <package-name> 找到有关包维护者的联系信息。如果源代码托管在 GitHub 上，请参考存储库的 安全政策。

npm Security 如何处理恶意软件

恶意软件是 npm 安全的主要问题，我们已经从注册表中删除了数百个恶意包。对于我们收到的每个恶意软件报告，npm Security 都会采取以下措施：

1. 确认报告的有效性。
2. 从注册表中删除包。
3. 发布包的安全占位符。
4. 发布提醒社区的安全公告。

作为我们流程的一部分，我们确定是否应该禁止上传包的用户账户。我们还会在适用的情况下与第三方合作。

报告恶意软件

1. 收集有关恶意软件的信息。
2. 在包页面上，单击报告恶意软件。
3. 在恶意软件报告页面上，提供有关您自己和恶意软件的信息：
   • 姓名：你的名字。
   • 电子邮件地址：npm 安全团队可以用来与您联系的电子邮件地址。
   • 包名字：包含恶意软件的包的名称。
   • 包版本：包含恶意软件的包的版本。包括所有受影响的版本。
   • 恶意软件描述：恶意软件及其影响的简要说明。包括有助于我们的研究人员确认报告的参考、提交和/或代码示例。
4. 单击发送报告。