目录
报告 npm 包中的恶意软件
目录
如果您在 npm 包中发现恶意软件(无论是您自己的还是别人的),您可以将其报告给 npm 安全团队,以帮助保持 Javascript 生态系统的安全。
**注意:** npm 包中的漏洞应直接报告给包维护者。我们强烈建议私下进行此操作。您可以使用 npm owner ls <package-name> 找到包维护者的联系信息。如果源代码托管在 GitHub 上,请参考仓库的 安全策略.
npm 安全如何处理恶意软件
恶意软件是 npm 安全的主要关注点,我们已从注册表中删除了数百个恶意包。对于我们收到的每个恶意软件报告,npm 安全会采取以下措施
- 确认报告的有效性。
- 从注册表中删除该包。
- 为该包发布安全占位符。
- 发布安全公告,提醒社区。
作为我们流程的一部分,我们确定上传该包的用户帐户是否应该被封禁。在适用情况下,我们还会与第三方合作。
报告恶意软件
- 收集有关恶意软件的信息。
- 在包页面上,点击**报告恶意软件**。
- 在恶意软件报告页面上,提供有关您和恶意软件的信息
- **姓名:**您的姓名。
- **电子邮件地址:**npm 安全团队可以使用该电子邮件地址与您联系。
- **包名:**包含恶意软件的包的名称。
- **包版本:**包含恶意软件的包的版本。包括所有受影响的版本。
- **恶意软件说明:**简要说明恶意软件及其影响。包括参考资料、提交和/或代码示例,这些示例将帮助我们的研究人员确认该报告。
- 点击**发送报告**。
