(相关资料图)

GitHub已经为GitHub Actions上的npm包引入了出处声明机制。通过使用一个特殊的出处标志，软件包维护者可以让消费者相信，输出的软件包是使用链接的源码库构建的。通过npm包管理器，使用JavaScript的开发者可以使用成千上万的包来为他们的项目添加新的特性和功能。

为了帮助说明为什么这一发展是有用的，GitHub说大多数人不会把一个随机的USB插入他们的电脑，以防它有恶意软件，在npm上找到的软件包也是如此。虽然代码可能是开源的，但你实际上不知道这个包是否是由该源代码构建的。而有了出处声明，npm的软件包可以与源代码联系起来。

GitHub介绍说，在过去几年中，攻击者对流行的npm包进行了攻击，如UAParser.js、Command-Option-Argument和rc。这些攻击并不直接破坏源代码，而是使用被破坏的证书来发布一个恶意版本的软件包。通过实际链接发布的软件包和源代码，消费者可以更加确信他们正在安装可信任的软件。

如果你想深入了解npm出处声明机制的细节，请查看GitHub的博文：

https://github.blog/2023-04-19-introducing-npm-package-provenance/