最近 Npm 的意外事件暴露了安全漏洞

看新闻很累？看技术新闻更累？试试下载 InfoQ 手机客户端，每天上下班路上听新闻，有趣还有料！

最近，npm 注册库经历了一次运维的意外事件，导致一些被高度依赖的包变得不可用，比如 require-from-string。尽管这个意外事件非常易于修复，但是它暴露了一个较为严重的安全漏洞，借助该漏洞能够尝试将恶意代码注入到使用npm 的项目中。

按照官方报告的说法，这次意外事件的根本原因在于错误地将名为“floatdrop”的用户移除，并使他们的包无法查找和下载。之所以做出这样的决策是因为发布了一个包含垃圾软件的包，该包中还包含了floatdrop 的合法包 timed-out的 README。因为匹配了 README，所以 npm 的反垃圾系统将 floatdrop 标记为垃圾包，随后导致了移除用户及其所有的包的操作。

npm 快速发现 floatdrop 确实是一个合法的用户，并且他们的有些包被高度使用，所以他们立即采取行动恢复所有的包。但就在这个过程所需的短短时间内，有一些与删除包名称相同的新包发布了，并且安装数目不详。

尽管 npm 的员工确认所有这些上传的替代包并非恶意的，但是这种事件有可能会给 npm 用户的项目注入恶意代码。需要注意的是，npm 确实有一个策略，用来防止发布时间超过24 小时的包被删除掉，其目的在于让其他人无法重用这些包的名字，但是这项策略之前并没有应用到垃圾软件包的删除上。这样做的理由是不想让垃圾软件妨碍合法名称的使用。

作为对这起事件的回应，npm 的员工采取了几项措施，其中最重要的就是对所有删除的包名有一个24 小时的冷却（cooldown）时间，这项策略也包括含有垃圾内容的包。这样的话，通过替换已删除的包来注入恶意代码会变得更困难，但是如果有人试图重用合法的包名的话，这需要npm 的员工在24 小时的时间窗口内恢复该包名。

另外，npm 的员工将会建立一系列的指导文档，让合法包名的误删更加难以出现。读者可以在原始博客文章中了解更多信息。

查看英文原文： Last Npm Incident Uncovers Security Vulnerability