Show HN: TimeLock NPM Registry
5 months ago
- #npm
- #security
- #supply-chain
- TimeLock NPM Registry 是一个专注于供应链安全的替代性 npm 包注册表
- 在新版本包可供安装前引入时间锁定机制
- 通过留出时间让社区和安全工具检测问题,降低安装恶意包的风险
- 让开发者可以等待24小时或更久再更新到新版本包
- 通过延迟包的可用性来增强对依赖项和构建的信任
- 包作者发布新版本后,这些版本会进入预设时长(如24小时)的待定状态
- 计时结束后,包才可供安装
- 通过设置注册表URL将包管理器配置为使用TimeLock NPM Registry
- URL格式:https://timelock-npm-registry.dev/lock/<分钟数>/
- 24小时锁定的示例:https://timelock-npm-registry.dev/lock/1440/
- 可通过项目内的.npmrc文件配置,或全局配置npm/pnpm
- 对于bun,需在bunfig.toml中配置
- 通过重置注册表URL可恢复默认npm注册表
- 目标用户:希望最小化供应链风险的开发者、优先考虑安全依赖项的企业、重视稳定性的开源项目