bsd-pdf

在接手一个离职同事的项目准备开发新需求，将项目拉下来后 install 时，发现一个安装包的错误，这是一个 pdf 预览的插件，尝试多次无法顺利安装后去 npm 网站上 查看，显示这个包含有恶意代码的提醒并已经被 npm 安全团队从注册表中删除。我直接好家伙，赶紧对这个模块进行了替换。 具体现象 分析原因看了下 git 记录发现最少已经是 10 个月之前就已经安装，之前一直没发现问题，可能因为这个同事一直没有再重新安装过整个 node_modules ；另外在 ci/cd 项目发布过程中没问题，是因为公司私有库中会缓存已经安装过的包 在我删除本地的 node_modules 和.lock 文件，指定到公司的私有库地址重新 install 后安装成功了。 1npm install --registry=http://xxxx/repository/xinnpm-ali 本地运行后查看 bsd-pdf 这个包在项目中的使用，一切正常。随后查看具体这个包到底有哪些问题。 npm 查看在 npm...