首頁 > 技術(shù) > 正文

世界觀熱點:軟件包存在"Manifest混淆"問題,新Python工具可解決

2023-07-06 06:02:16來源:中關(guān)村在線  


【資料圖】

近日,GitHub和NPM的前工程經(jīng)理Darcy Clarke警告,NPM包存在"Manifest混淆"問題。為了應(yīng)對這種情況,系統(tǒng)管理員Felix Pankratz推出了一款基于Python的工具,以幫助軟件開發(fā)人員檢查NPM包的一致性。 NPM是JavaScript編程語言的程序包管理器,也是Node.js環(huán)境的默認(rèn)配置。該程序包管理器可以幫助項目管理員自動化安裝、升級以及配置軟件包,這些軟件包都被托管在npmjs.com上的NPM注冊表數(shù)據(jù)庫。 所謂 "Manifest混淆"問題,指的是當(dāng)程序包在NPM注冊表上顯示的Manifest信息與安裝該程序包時,發(fā)布的NPM包tarball中的實際“package.json”文件不一致的情況。 公開發(fā)布的Python工具可以幫助用戶完善這個問題。用戶可以通過安裝相關(guān)組件來使用該工具。只需要在腳本的末尾添加具體的包名,就可以看到Manifest和實際的"package.json"文件中任何不匹配的信息,包括版本、依賴項、腳本以及包的名稱。 為了檢測多個包,用戶可以先把這些包名添加到"packages.list"文件中,然后利用"check_packages.sh"包裝器腳本進(jìn)行檢查。這款工具已經(jīng)公開,有需要的用戶可以前往下載。

標(biāo)簽:

相關(guān)閱讀

精彩推薦

相關(guān)詞

推薦閱讀