最近Npm的意外事件暴露了安全漏洞

最近，npm注册库经历了一次运维的意外事件，导致一些被高度依赖的包变得不可用，比如require-from-string。尽管npm的员工确认所有这些上传的替代包并非恶意的，但是这种事件有可能会给npm用户的项目注入恶意代码。

年终盘点：2017年JavaScript框架发展现状

众所周知，npm在JavaScript社区的功用之一就是帮助大家发掘在npm注册的、满足需求的库和框架。React整体生态系统的增长不容忽视，不仅Web开发人员在积极采用React，其它领域的开发者，例如移动和桌面应用程序开发者也在使用它。

Redpoint Games推出NPM包签名工具

Redpoint推出了pkgsign，一个NPM的软件包签名和验证工具。要验证当前你正在处理的包的依赖包，你可以再次发出下面这条命令：pkgsign verify --full　　未来还将发布一个“代表签名”的功能。

Kotlin 1.2更新将进一步侵占Java市场！

在Kotlin 1 1中，团队正式发布了JavaScript目标，允许开发者将Kotlin代码编译为JS并在浏览器中运行。该版本包含了很多外部贡献者所做的工作，团队感谢所有发送反馈，报告问题的开发者，特别是那些提交过请求的人。

NPM发布新的安全功能

近日，在Vancouver BC举行的Node js互动会议上，npm公司宣布推出新的安全功能，旨在使npm注册表更加安全，防止攻击。当在auth-and-writes模式下启用2FA时，诸如发布新版本或更改“latest”标签的操作将需要来自认证者的一次性密码。

滥用npm库导致数据暗渡

摘要：在这篇博文中，我们将介绍攻击者是如何利用npm从开发人员的机器中泄露情报的。由于构建post-install任务时是以用户的相应权限来运行的，因此可以将文件的内容复制到攻击者控制之下的位置。

Visual Studio中断NPM套件库服务

微软在VS代码1 7版本中断了npm套件库的服务之后，推出了VS代码1 7 1版本。“每次打开一个项目或文件，会为不存在的模块发出请求，并预期着将新的类型声明文件添加到@types范围。

NPM蠕虫漏洞披露

NPM项目已正式承认其存在一个长期的安全漏洞，该漏洞可能导致恶意的代码包可以在开发者系统上随意的运行任意代码，导致了第一个NPM创建的蠕虫。这个问题的根源在于，NPM模块有相关的脚本文件，它们可以在安装的时候被NPM运行。