package-trust:概念证明

包装信托 对npm软件包进行分布式安全审核的概念验证。 该设置基于以下人员：发布他们的公共GPG密钥，从注册表中下载npm软件包，手动对其进行审核，然后创建一个GPG签名来表明他们已对其进行了审核。 这些签名被收集并存储在存储库中。然后，您可以稍后验证项目中使用的所有软件包（通过解析package-lock.json）是否都由您信任的人员进行了安全审核。 该存储库是最低可行的产品；可以想象使用数据库创建各种Web应用程序来存储签名并创建一个更加用户友好的工作流。 如何检查包裹 找出要检查的包裹。 检查软件包元数据： npm view left-pad （您将获得版本列表） 获取软件包： PACKAGE="left-pad" VERSION="1.3.0" ./fetch-pkg.sh该软件包将被下载并最终位于“ packages”目录中。 进行手动检查。 创建签名 如何在检查过的包裹上签名