最近我听说一些npm包被黑客入侵(例如UA解析器(,这让我有点害怕。
问题严重吗?我应该考虑使用VM进行本地开发吗?
如果是,在Mac上运行macOS VM的最佳选项是什么?
经过短暂的研究,我发现有一个在Parallels中运行MacOSVM的选项,它对性能有何影响,有更好/更简单的替代方案吗?
如果你想从正式的角度看待这种威胁,那么你可以将风险(通过下载第三方恶意库被黑客入侵(理解为概率和损害的组合(如果风险变为现实,你会失去什么(。
两者都取决于你的个人情况。示例:在用Java编写另一个spring应用程序时,我从未为开发目的创建过单独的VM,但在测试一些本应创建";"金名片";我的Android手机。
我仍然想说,在使用主流库时,被恶意第三方依赖入侵的可能性仍然很小(在ua解析器js的情况下,攻击窗口长达4小时(。当您对库版本进行硬编码并在本地缓存时,这种可能性会更低。