Esistono metodi di verifica incorporati per assicurarsi che i pacchetti contengano il codice corretto? Usano un hash di qualche tipo?
Secondo numero npm # 6886 , esiste un sistema per convalidare il contenuto dei pacchetti tramite qualsiasi checksum o sistema di hashing.
Citazione dell'utente GitHub othiym23 :
npm has included validation of the package tarballs, via their SHA-1 digests, since pretty much the beginning. It's worth pointing out, though, that this is intended as a verification measure to ensure that the package tarball has been correctly downloaded from the registry; it's not meant to protect against substitution attacks.
Quindi, mentre i dati vengono verificati come dati SAME provenienti dal server npm, non c'è modo di convalidare se il codice che viene consegnato dal server è il codice che ci si aspetta (ad esempio, nessun sistema in atto per convalidare il pacchetto con il proprio hash fidato).
Sembra che ci sia un controllo sulla convalida nel codice sorgente, tuttavia , la fonte rivela anche che NON esiste una convalida dell'integrità per il recupero di pacchetti npm basati su repository Git.
Puoi trovare la logica per questa condizione sulla riga ~ 120 in questo file .