我正在开发一款需要使用Binance API的应用程序。我发现了一个NPM包https://www.npmjs.com/package/@二进制/连接器
但我不确定它是官方的还是其他人创造的。什么是标准来识别一个好的npm包好我的意思是不包含任何恶意代码。
NPM包链接到GitHub回购。GitHub reporeadme链接回NPM包。到目前为止还不错。
GitHub repo是在binance组织下发布的,该组织有验证过的标签,并带有注释:
我们已经验证了组织binance控制域:www.binance.com
因此,假设我们可以信任GitHub验证过程,这个特定的NPM包是合法的,并且确实来自Binance。
大致确定NPM包可信度的一般经验法则:
- 由经过验证的组织发布
- 下载量。与每周下载1-2次的套餐相比,每周下载1k次的套餐更有可能是合法的
- 此程序包周围社区的大小。寻找贡献者的数量,并在官方网站,支持论坛与活跃用户。这些迹象表明这个方案可能是好的
- 如果该软件包对您的案例具有关键业务意义,请始终进行自己的尽职调查并仔细查看代码