npm パッケージは、ユーザーへの明確な警告なしに、管理者によって非推奨になり、放棄されているとセキュリティ研究者は警告しています。
.pm レジストリで最もダウンロードされたパッケージの上位 50,000 個のうち、約 8% は「正式に」減価償却されているか、劣化した「直接の依存関係」を持っています。
ただし、研究者らは、他の基準で検索を拡大すると、その割合が 21% に上昇することを発見しました。
アクティブに見える非推奨の npm パッケージにはオープンソースのリスクが存在します from csoonline.com
security summarynpm パッケージは、ユーザーへの明確な警告なしに、管理者によって非推奨になり、放棄されているとセキュリティ研究者は警告しています。
.pm レジストリで最もダウンロードされたパッケージの上位 50,000 個のうち、約 8% は「正式に」減価償却されているか、劣化した「直接の依存関係」を持っています。
ただし、研究者らは、他の基準で検索を拡大すると、その割合が 21% に上昇することを発見しました。
コメント