npm 包 npm-squatting-check 的使用教程-JavaScript中文网-JavaScript教程资源分享门户

前言

在开发过程中，为了方便代码管理和使用，我们经常会使用各种 npm 包，但是如果不注意，有些 npm 包可能会是恶意的、与正常的 npm 包同名的“蹭热度”包或者拼写相似的包，这些包可能会包含恶意代码，给我们的代码和数据带来风险。

为了解决这个问题，npm-squatting-check 工具应运而生。npm-squatting-check 工具可以帮助我们及时发现那些与正式 npm 包名称相似的恶意包，从而避免因使用这些包而导致风险。

下面，本文将提供 npm-squatting-check 工具的使用教程，帮助我们更好的保障前端开发工作的安全。

安装 npm-squatting-check 工具

npm-squatting-check 工具可以通过 npm 包管理器进行安装，打开终端或命令行界面，输入以下命令：

npm install -g npm-squatting-check

这条命令会全局安装 npm-squatting-check 工具，安装完成后，我们就可以使用 npm-squatting-check 工具了。

使用 npm-squatting-check 工具

npm-squatting-check 工具使用非常简单，只需要输入以下命令：

npm-squatting-check 包名称

其中，包名称用于指定被检测的 npm 包的名称。

实例演示

下面以检测与 lodash 包名称类似的恶意包为例进行演示。

检测正式的 lodash 包

首先，我们可以使用以下命令检测正式的 lodash 包：

npm-squatting-check lodash

命令执行完成后，若输出以下信息，则表示正式的 lodash 包没问题：

-- -------------------- ---- -------
------- --------------- --- ------
------- ---------------- --- ------
------- ------------------ --- ------
------- ------------- --- ------
------- ------------- --- ------
------- -------------------- --- ------
------- ------------------- --- ------
------- -------- --- ------
------- ----------- --- ------
------- ----------------- --- ------
------- --------- --- ------
------- ---------- --- ------
------- ------------------- --- ------
------- ------------- --- ------
------- ---------- --- ------
------- ------------- --- ------
------- --------------- --- ------
------- ------------------- --- ------
------- -------------- --- ------
------- -------------- --- ------
------- ------------- --- ------
------- -------------- --- ------
------- --------------- --- ------
------- ------------------ --- ------
------- ----------------------- --- ------
------- ----------------------- --- ------
------- --------------- --- ------

上述信息表明，没有其它与 lodash 包类似的恶意包。

检测恶意的 łodash 包

接下来，我们可以使用以下命令检测恶意的 łodash 包：

npm-squatting-check łodash

命令执行完成后，若输出以下信息，则表示有恶意的 łodash 包：

-- -------------------- ---- -------
------- -------- ----- ---- ---------- ------ ------------------
------- -------- ----- ---- ---------- ------ -----
------- --------- ----- ---- ---------- ------ ------------------
------- -------- ----- ---- ---------- ------ ---
------- --------- ----- ---- ---------- ------ ---
------- -------- ----- ---- ---------- ------ ---
------- ----------------- ----- ---- ---------- ------ ------------------
------- -------- ----- ---- ---------- ------ ---
------- --------- ----- ---- ---------- ------ ------------------
------- ---------------- ----- ---- ---------- ------ ----
------- --------- ----- ---- ---------- ------ ------------------

上述信息表明，与 łodash 包同名或相似的包很多，通过查看包被找到的包名称，可以看到一些明显是跟正式 lodash 包不相干的包名称，如 l0dash、l1dash、llodash，这就是 npm-squatting-check 工具的作用所在。

总结

本文详细介绍了 npm-squatting-check 工具的使用方法，通过本文所提供的使用教程，我们可以借助 npm-squatting-check 工具及时发现那些与正式 npm 包名称相似的恶意包，保障我们在前端开发过程中的安全。

来源：JavaScript中文网，转载请注明来源 https://www.javascriptcn.com/post/64043