Reagire , ed è uno script per la creazione di applicazioni, create-react-app , sono pacchetti popolari al giorno d'oggi ... e con buone ragioni: React è una struttura da rockstar.
Dal punto di vista della sicurezza, la disinfezione di tutti i pacchetti che create-react-app installa sembra essere una grande impresa.
Ho appena fatto un rapido conteggio dei pacchetti installati, inserendo npm ls nella riga di comando della mia home di installazione e contato 2226 pacchetti! : O Inoltre, si trattava solo di pacchetti locali e non include globale.
In che modo questo enorme albero dei pacchetti è adeguatamente igienizzato?
Suppongo che ci sia una domanda più grande qui, su come scansionare i pacchetti installati su npm e le loro dipendenze.
Ha senso eseguire ognuno di questi pacchetti attraverso uno scanner?