简介GitHub 在GitHub Actions 上引入了npm 包来源。通过使用特殊的出处标志，包维护者可以让消费者相信导出的包是使用链接的源存储库构建的。 GitHub 在GitHub Actions 上引入了npm 包来源。通过使用特殊的出处标志，包维护者可以让消费者相信输出包是使用链接的源存储库构建的。借助npm 包管理器，使用JavaScript 的开发人员可以使用数千个包向其项目添加新特性和功能。

为了帮助说明为什么这一开发是有用的，GitHub 表示，大多数人不会将随机USB 插入他们的计算机，以防其中有恶意软件。这与npm 上找到的包相同。虽然代码可能是开源的，但您实际上并不知道该包是否是根据该源代码构建的。通过归属，npm 包可以链接到源代码。

据GitHub 称，过去几年，攻击者瞄准了流行的npm 包，例如UAParser.js、Command-Option-Argument 和rc。它表示，这些攻击不会直接破坏源代码，而是使用受损的凭据来发布恶意版本的软件包。通过实际链接到已发布的软件包和源代码，消费者可以更加确定他们正在安装值得信赖的软件。