验证 NPM 包是否为官方包
Verify if an NPM package is official
我正在开发一个需要使用 Binance 的应用程序 API。我找到了一个 NPM 包 https://www.npmjs.com/package/@binance/connector
但我不确定它是官方的还是其他人创建的。好的 npm 包的判断标准是什么我的意思是不包含任何恶意代码。
NPM 包链接到 GitHub repo。 GitHub repo readme 链接回 NPM 包。到目前为止一切顺利。
GitHub 存储库在 binance 组织下发布,该组织具有 已验证 标签和注释:
We've verified that the organization binance controls the domain: www.binance.com
所以假设我们可以信任 GitHub 验证过程,这个特定的 NPM 包是合法的并且确实来自 Binance。
粗略确定 NPM 包可信度级别的一般经验法则:
- 由经过验证的组织发布。
- 下载量。与每周下载 1-2 次的软件包相比,每周下载 1k 次的软件包更有可能是合法的。
- 围绕此软件包的社区规模。查看贡献者的数量,以及官方网站、活跃用户的支持论坛。这些迹象表明包裹可能没问题。
- 如果包对您的案例至关重要,请始终尽职调查并查看代码。
我正在开发一个需要使用 Binance 的应用程序 API。我找到了一个 NPM 包 https://www.npmjs.com/package/@binance/connector
但我不确定它是官方的还是其他人创建的。好的 npm 包的判断标准是什么我的意思是不包含任何恶意代码。
NPM 包链接到 GitHub repo。 GitHub repo readme 链接回 NPM 包。到目前为止一切顺利。
GitHub 存储库在 binance 组织下发布,该组织具有 已验证 标签和注释:
We've verified that the organization binance controls the domain: www.binance.com
所以假设我们可以信任 GitHub 验证过程,这个特定的 NPM 包是合法的并且确实来自 Binance。
粗略确定 NPM 包可信度级别的一般经验法则:
- 由经过验证的组织发布。
- 下载量。与每周下载 1-2 次的软件包相比,每周下载 1k 次的软件包更有可能是合法的。
- 围绕此软件包的社区规模。查看贡献者的数量,以及官方网站、活跃用户的支持论坛。这些迹象表明包裹可能没问题。
- 如果包对您的案例至关重要,请始终尽职调查并查看代码。