iOS 摸鱼周报

文章预览

本期概要 话题：node-ipc 供应链投毒事件 面试模块：OC 对象弱引用指针标识位 优秀博客：程序员如何自我提升 学习资料：以 Java 为背景的全栈知识体系 开发工具：新一代卡片笔记工具：flomo 本期话题 @zhangferry：这期稍微聊一聊 「node-ipc 包以反战为名进行供应链投毒」 [1] 这件事。这件事的原委是这样的， node-ipc [2]  是 npm 下的一个组件（iOS 开发可以将其理解为 CocoaPods 下的一个组件），其作者为了表达反战宣言，在该组件库里注入了恶意脚本，往用户的桌面和 OneDrive 里写一个文件，用于表达自己的政治观点。供应链的含义是你发布的软件所依赖的三方库、系统库、开发工具等组成的依赖链，你的软件属于其中一环，它受以上所有环节的影响。而供应链投毒的含义是，只要依赖链里有它，就会中招，其中就包括使用很广泛的 vue-cli 。 ………………………………