文件名称:package-trust:概念证明
文件大小:26KB
文件格式:ZIP
更新时间:2024-04-07 10:49:37
StandardML
包装信托 对npm软件包进行分布式安全审核的概念验证。 该设置基于以下人员:发布他们的公共GPG密钥,从注册表中下载npm软件包,手动对其进行审核,然后创建一个GPG签名来表明他们已对其进行了审核。 这些签名被收集并存储在存储库中。然后,您可以稍后验证项目中使用的所有软件包(通过解析package-lock.json)是否都由您信任的人员进行了安全审核。 该存储库是最低可行的产品;可以想象使用数据库创建各种Web应用程序来存储签名并创建一个更加用户友好的工作流。 如何检查包裹 找出要检查的包裹。 检查软件包元数据: npm view left-pad (您将获得版本列表) 获取软件包: PACKAGE="left-pad" VERSION="1.3.0" ./fetch-pkg.sh该软件包将被下载并最终位于“ packages”目录中。 进行手动检查。 创建签名 如何在检查过的包裹上签名
【文件预览】:
package-trust-master
----make-message.js(432B)
----signatures()
--------left-pad()
----sign.sh(211B)
----keys()
--------eiriksletteberg@gmail.com.asc(4KB)
----LICENSE.md(1KB)
----README.md(2KB)
----verify.sh(117B)
----.gitignore(9B)
----fetch-pkg.sh(212B)