我正在開發一個需要使用 Binance API 的應用程式。我找到了一個 NPM 包https://www.npmjs.com/package/@binance/connector
但我不確定它是官方的還是由其他人創建的。用好來識別好的 npm 包的標準是什么,我的意思是不包含任何惡意代碼。
uj5u.com熱心網友回復:
NPM 包鏈接到 GitHub 存盤庫。GitHub 存盤庫自述檔案鏈接回 NPM 包。到現在為止還挺好。
GitHub 存盤庫在binance組織下發布,該組織具有經過驗證的標記和注釋:
我們已驗證組織 binance 控制域:www.binance.com
因此,假設我們可以信任 GitHub 驗證程序,這個特定的 NPM 包是合法的,并且確實來自 Binance。
粗略確定 NPM 包的可信度級別的一般經驗法則:
- 由經過驗證的組織發布。
- 下載量。與每周下載 1-2 次的軟體包相比,每周下載 1k 的軟體包更可能是合法的。
- 圍繞這個包的社區規模。尋找貢獻者的數量,以及官方網站、活躍用戶的支持論壇。這些是包裝可能沒問題的跡象。
- 如果包對您的案例至關重要,請始終進行自己的盡職調查并查看代碼。
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/407333.html
標籤: