NPM багцын санд аюулгүй байдлын асуудал илэрсэн бөгөөд энэ нь багц эзэмшигч нь тухайн хэрэглэгчээс зөвшөөрөл авалгүйгээр, авсан арга хэмжээний талаар мэдэгдэлгүйгээр дурын хэрэглэгчийг засварлагчаар нэмэх боломжийг олгодог. Асуудлыг улам бүр хүндрүүлэхийн тулд гуравдагч этгээдийг засварлагчаар нэмсний дараа багцын анхны зохиогч нь засварлагчдын жагсаалтаас өөрийгөө хасаж, гуравдагч этгээдийг багцыг хариуцах цорын ганц хүнээр үлдээж болно.
Асуудлыг хорлонтой багц бүтээгчид ашиглаж, хэрэглэгчийн итгэлийг нэмэгдүүлэх, нэр хүндтэй хөгжүүлэгчид багцыг хариуцдаг гэсэн хуурмаг байдлыг бий болгохын тулд нэр хүндтэй хөгжүүлэгчид эсвэл томоохон компаниудыг үйлчилгээ үзүүлэгчдийн тоонд нэмж оруулах боломжтой. үүнтэй ямар ч холбоогүй бөгөөд түүний оршин тогтнохыг ч мэдэхгүй. Жишээлбэл, халдагчид хортой багц байршуулж, засварлагчийг сольж, хэрэглэгчдийг томоохон компанийн шинэ хөгжүүлэлтийг туршихыг урих боломжтой. Мөн энэ эмзэг байдлыг тодорхой хөгжүүлэгчдийн нэр хүндийг гутаан доромжилж, тэднийг эргэлзээтэй үйлдэл, хорлонтой үйлдлүүдийг санаачлагч болгон харуулахад ашиглаж болно.
GitHub-д энэ асуудлын талаар 10-р сарын 26-нд мэдэгдэж, XNUMX-р сарын XNUMX-нд npmjs.com сайтын асуудлыг өөр төсөлд нэгдэхийг хэрэглэгчдээс шаардаж зассан. Олон тооны NPM багцуудыг хөгжүүлэгчид өөрсдийнх нь зөвшөөрөлгүйгээр нэмж оруулсан багцын жагсаалтаа шалгахыг зөвлөж байна.
Эх сурвалж: opennet.ru