NPM 可能存在的安全风险

1. 依赖混淆：攻击者创建与常用包名相似的恶意包，当开发者在安装依赖时误输入错误包名，就可能安装恶意包，导致敏感信息泄露等问题。
2. 旧版本漏洞：使用的 NPM 包存在已知的安全漏洞，而开发者未及时更新到修复版本，黑客可利用这些漏洞攻击应用。
3. 恶意代码植入：恶意开发者在包中植入恶意代码，当项目安装该包时，恶意代码随之运行，比如窃取用户数据、发起网络攻击等。
4. 传递依赖风险：直接依赖的包可能依赖其他存在安全问题的包，即使项目未直接使用这些间接依赖，也可能因传递依赖而面临风险。

常用 NPM 漏洞检测工具 - npm audit

基本使用方法：

1. 初始化项目：在项目目录下运行 npm init -y 初始化 package.json 文件（若项目已有该文件则可跳过此步）。
2. 运行检测：在项目目录下执行 npm audit 命令，NPM 会自动分析项目依赖，检测是否存在已知的安全漏洞，并列出详细的漏洞报告，包括漏洞名称、漏洞等级、受影响的包及版本等信息。
3. 修复漏洞：根据报告，使用 npm audit fix 命令尝试自动修复检测到的漏洞。该命令会更新受影响包到安全版本。但有时自动修复可能无法成功，需要手动处理，比如调整依赖版本或寻找替代包。