NPM

NPM（Node Package Manager）是Node.js的官方包管理器，也是全球最大的开源软件注册中心之一。它是JavaScript生态的核心基础设施，承载着数百万个开源包和数千万开发者的依赖管理。

安全挑战

NPM生态因其开放性和规模，成为供应链攻击的主要目标。2026年3月的[[axios]]投毒事件是典型例子——攻击者通过盗用核心维护者账号发布恶意版本。

安全措施

• 强制要求高下载量包的维护者开启双因素认证（2FA）
• 与社区协作快速下架恶意包（如Axios事件中3小时内响应）
• 推动OIDC和硬件密钥等更安全的认证方式

相关概念

• [[npm安全]] — NPM平台相关的安全事件和最佳实践
• [[开源供应链安全]] — 开源软件供应链的整体安全框架
• [[定向社交工程攻击]] — 针对开发者的社交工程攻击手法