我们正在创建一个Web组件,该组件将通过欧洲的自托管CDN提供。
这个想法是让开发人员尽可能容易地将Web组件集成到网站中。
其中一种方法是在npm上发布。现在的问题是:
由于该项目基于非常严格的数据隐私要求:
从数据隐私的角度来看,有人能证明npm是不安全的吗
换句话说:发布npm包的行为是否会给使用浏览器中Web组件的开发人员或更具体地说,最终用户带来数据隐私问题?
当然,这个问题排除了Web组件本身的问题,因为它们本身可能会导致问题。我只对在npm上托管一个包感兴趣。
经过调查:我来自德国,数据隐私和数据保护似乎可以翻译成同一个词(Datenschutz(。所以在这个问题上,两者都是有意义的。
我不会使用StackOverflow来寻求遵守数据隐私法律或法规的建议。我不是律师,我怀疑这里的很多人都是。也就是说,可以做出一些概括,这些概括可能适用于也可能不适用于您的具体情况。再说一遍,我不是律师,这也不是法律建议。
我不确定你说的是公共npm注册中心还是私人注册中心。
就数据隐私而言,将代码发布到公共npm注册表与将其发布到GitHub或博客没有太大区别。如果代码、示例、文档和各种配置文件不包含敏感数据,则将它们发布到公共npm注册表不会产生问题。如果您发布的一个或多个文件确实包含敏感数据,那么将它们发布到npm注册表将带来与将它们发布在GitHub或博客类似的风险。
如果你使用的是私人npm注册表,事情可能会复杂得多,我不相信StackOverflow上的答案。让您的数据安全人员与您的开发人员和进行注册表托管的人员交谈。