npmライブラリの「色」を覚えていますか? 「colors-2.0」のようなものはありません、Axe Sharma

Remember npm library ‘colors’? There’s no such thing as ‘colors-2.0’,Ax Sharma - securityboulevard.com,
securityboulevard.com
Remember npm library ‘colors’? There’s no such thing as ‘colors-2.0’,Ax Sharma - securityboulevard.com,
The popular npm package, 'colors' made headlines earlier this year when its dev Marak Squi...

「colors」は頻繁に使用されており、npmだけで毎週2,000万回のダウンロードがあり、約19,000のオープンソースプロジェクトがこれに依存しています。
カジュアルな観察者には、colors-2.0、colors-3.0、およびその他のいくつかは、ケースから遠く離れている場合、「colors」ライブラリの「新しい」バージョンのように見える場合があります。
これは、「人工的に導入された」コード実行の脆弱性を備えた元の「mitmproxy」パッケージのフォークであり、これもまた混乱を引き起こし、開発者が公式パッケージではなく安全性の低いmitmproxy2を採用する可能性があります。
‘colors-XX’タイプミスの場合、これらのパッケージには、’colors’から借用した正当なファイルが含まれています。

コメント

タイトルとURLをコピーしました