关于axios投毒事件,建议大家还是排查一下
- 内容介绍
- 文章标签
- 相关推荐
众所周知,npm的安装不一定是按你声明的版本号下载的
看到这个^了吗
^1.12.2,表示 >=1.12.2 < 2.0.0
所以任何在3月31日前后执行过npm install的系统均可能已感染,不要因为项目使用的版本较低而掉以轻心
--【壹】--:
以后还是需要锁版本。不轻易更新。
--【贰】--:
感觉国人维护的更完蛋
--【叁】--:
看看后续怎么样
--【肆】--:
你axios装全局的?
--【伍】--:
国产一般不偷偷,就告诉你要收集,不同意不让用
--【陆】--:
PS C:\Users\admin> npm ls -g axios
C:\Users\admin\AppData\Roaming\npm
`-- (empty)
PS C:\Users\admin> npm ls -g plain-crypto-js
C:\Users\admin\AppData\Roaming\npm
`-- (empty)
PS C:\Users\admin>
全部都显示empty是不是就是安全的
--【柒】--:
中午排查了下,0.28.1还好没更新
--【捌】--:
还好我们公司的项目用的全是alovajs
--【玖】--:
只要我的架构够老,就没有人可以投毒。
众所周知,npm的安装不一定是按你声明的版本号下载的
看到这个^了吗
^1.12.2,表示 >=1.12.2 < 2.0.0
所以任何在3月31日前后执行过npm install的系统均可能已感染,不要因为项目使用的版本较低而掉以轻心
--【壹】--:
以后还是需要锁版本。不轻易更新。
--【贰】--:
感觉国人维护的更完蛋
--【叁】--:
看看后续怎么样
--【肆】--:
你axios装全局的?
--【伍】--:
国产一般不偷偷,就告诉你要收集,不同意不让用
--【陆】--:
PS C:\Users\admin> npm ls -g axios
C:\Users\admin\AppData\Roaming\npm
`-- (empty)
PS C:\Users\admin> npm ls -g plain-crypto-js
C:\Users\admin\AppData\Roaming\npm
`-- (empty)
PS C:\Users\admin>
全部都显示empty是不是就是安全的
--【柒】--:
中午排查了下,0.28.1还好没更新
--【捌】--:
还好我们公司的项目用的全是alovajs
--【玖】--:
只要我的架构够老,就没有人可以投毒。