【发布时间】:2019-12-31 05:16:12
【问题描述】:
我将代表我的组织发布一个 npm 包,比如说 A。我想为客户提供一种方法来验证他们正在使用的包实际上是由 A 发布的。实现此目的的一种方法是通过计算我们的来源的校验和,并将其发布在 A 的网站上的某个地方。任何想要验证的人都可以轻松完成。之前在 Maven 项目中工作过(在发布时会生成校验和),我期待校验和将在 npm 中自动计算。然而,事实并非如此。有没有办法做到这一点?在 npm 中验证包完整性的首选方法是什么?
PS:我看过这个帖子https://github.com/npm/npm/issues/6886,它谈到了类似的事情。
【问题讨论】:
标签: javascript node.js security npm package