vi ~/.npmrc
然后在里面加入这行:
min-release-age=7
14 条回复 • 2026-04-17 20:49:38 +08:00
 |
1
BanShe 1 天前
11.x 以上可以
|
 |
2
blank0ken 1 天前
7day defence
|
 |
3
JasonEWNL 1 天前  4
其他工具链可以参考 https://daniakash.com/posts/simplest-supply-chain-defense/#beyond-javascript 汇总。
比如 uv ( v0.9.17+): # pyproject.toml [tool.uv] exclude-newer = "7d" |
 |
4
HappyAndSmile 19 小时 12 分钟前
当大多数人这样做之后,会不会相当于都延迟了开启使用的时间,从而效果没想象中大呢
|
 |
5
crocoBaby 12 小时 40 分钟前
贴心小功能,7 天缓冲够了
|
 |
6
lisxour 11 小时 51 分钟前
感觉对大部分人没啥作用,主要是信息差,平时不关注这类信息的给多长时间他们也不知道,就拿我自己为例,青龙面板前段时间爆了个超严重的漏洞,可以任意改密码然后任意登录,还有路径穿越任意读取文件,我中招了 4 个月之后才知道。。。
|
 |
7
lel020 11 小时 36 分钟前
@HappyAndSmile 不是所有就行,总有维护者或者特别关心某些库的人一直使用最新版甚至最新内测版, 流行的库就没可能所有人都不跟踪最新版, 那就不会投毒了不被发现,极少有投毒能潜伏七天的,影响力越大的库越不可能潜伏着毒,
|
|
8
lel020 11 小时 33 分钟前
@lisxour 这不是针对旧版漏洞吧,已经发布的版本不能随意下架, 已经上线的漏洞也就只能你自己升级解决了,
延迟 7 天是解决类似最近 claude code 源码泄露投毒到依赖链里的情况,这种投毒都是一次性的,一下子爆发一下子熄灭,炸到多少算多少, |
 |
9
XWZCoffee 9 小时 35 分钟前
@HappyAndSmile 别用冷门的库,大的仓库几乎不会有你考虑的这种问题,7 天肯定是够了。
|
 |
10
mrchi 8 小时 31 分钟前 1
@JasonEWNL 补充一下,UV 可以配置在用户级,这样就不需要每个项目单独去配置了。
路径:~/.config/uv/uv.toml 直接添加 exclude-newer = "7d" 这一行即可。 |
 |
11
gaojin 8 小时 20 分钟前
可以看看这个项目的设计 https://github.com/jin10086/Buffer7
|
 |
12
subpo 5 小时 7 分钟前
安全更新似乎也会延期 7 天?需要取舍
|
 |
13
nyaaar 4 小时 56 分钟前
小巧思,可以的
|
 |
14
darson 49 分钟前
不觉得所有的供应链投毒能够在 7 天内发现。
|
Select Language