## NPM 包安全问题 - 摘要 近期报告指出，Node 包管理器 (NPM) 生态系统存在重大安全问题：超过 86,000 次恶意包的下载。这些包利用安装过程中的生命周期脚本漏洞，可能使攻击者获得系统访问权限。 讨论的重点是如何缓解此风险。解决方案包括在 Docker 容器中沙箱化 `npm` 命令——限制对环境变量和文件系统的访问，以及采用替代包管理器，如 `pnpm`，默认禁用脚本执行。 依赖项归档（直接在项目内部管理它们）和使用自定义包注册表也被建议为更可靠，但可能更复杂的解决方案。 一个关键点是现代 JavaScript 项目中依赖项的数量众多，使得彻底审计变得困难。 一些人提倡减少对第三方包的依赖。 最终，这场讨论强调了 JavaScript 开发社区内提高安全意识和采用更安全实践的必要性。