只有经常发生这种情况的软件包经理表示，“没有办法阻止这种情况发生”

加利福尼亚州旧金山 - npm 注册表遭受毁灭性的​​供应链攻击，导致数百万企业应用程序受到损害，数十亿用户记录遭到泄露，JavaScript 生态系统的开发人员今天表达了深深的悲痛，感叹这样的危机是完全无法避免的。 “这很遗憾，但你能做什么？这只是构建现代 Web 应用程序的代价。”高级前端工程师 Mark Vance 说，他呼应了一个社区的观点，该社区完全依赖由匿名陌生人维护的 40 层深度的未经审查的软件包嵌套树来大写单个字符串。 “绝对没有办法预见或阻止有人接管长期废弃的实用程序包并将加密货币矿工注入到世界上的每个生产构建中。这只是一种自然行为。”截至发稿时，Node.js 生态系统的居民一致认为，恶意远程代码执行是一场完全不可预测的悲剧，并向目前忙于轮换公司 AWS 密钥的 DevOps 团队表达了他们的想法和祈祷。有趣的是，Go、Rust 等生态系统的开发人员以及使用本机 Web API 的开发人员（其中强大的标准库大大减少了对第三方代码的依赖，并且核心工具链中内置了严格的加密验证）报告说，当今大学辍学生的周末项目摧毁全球物流基础设施的实例为零。 “这是毁灭性的，但我们必须接受我们生活在一个存在不良行为者的世界。我们没有可以强制执行的注册表政策或构建沙箱护栏来阻止它，”一位 npm 发言人站在一个开源注册表前说道，该注册表默认情况下很乐意在本地计算机上执行任意安装脚本。 “我们的心与受害者同在。在明天早上发生下一次不可避免的破坏之前，我们必须保持韧性。”