安全漏洞響應步驟

2018 年 11 月 27 日左右，所有直接或間接依賴 event-stream 包的使用者都收到了一個 npm 安全漏洞公告。這是一次非常有針對性的攻擊，只有在安裝了 Copay 比特幣錢包時才會啟用，然後試圖竊取錢包內容。

我們有兩個專案，即 interactive-examples 和 BoB，依賴於一個名為 npm-run-all 的 npm 包，而該包又依賴於 event-stream 包。

這意味著不僅員工有風險，那些 fork 了這兩個程式碼庫中任何一個的人也可能受到影響。幸運的是，受影響的包的維護人員迅速做出反應，釋出了更新以解決問題。由於我們針對這些程式碼庫運行了 Renovate 機器人，所以有一個 拉取請求 準備合併。

但這隻解決了問題的一部分。我們的使用者仍然需要得到通知。

尤其是 interactive-examples 專案的社群規模相當大，並非所有人都是活躍使用者，但我們仍然需要一種方法來聯絡所有人。第一步是在每個程式碼庫中開啟一個問題，詳細說明問題。

• interactive-examples
• bob

這本身還不夠，因為使用者不一定會積極監控問題。因此，我們需要檢視該專案的 所有 fork。

然後我們複製了所有這些使用者的使用者名稱，並在上述問題中 ping 了他們，例如透過在該問題中 評論。

從問題收到的回覆來看，這種做法非常有效，但我們不能就此止步。下一步是在每個開放的拉取請求中釋出評論，通知使用者問題以及他們的下一步操作。這是一個 示例，展示了我們的回覆。

這樣一來，我們對以下幾點很有信心：我們積極聯絡，以及 npm 和其他渠道線上報道問題，將確保我們的使用者安全。

最後，我們從官方 Twitter 帳戶釋出了推文，提高人們對該問題的認識。

希望這類事件不會頻繁發生。但如果再次發生，以上內容為如何應對提供了可靠的指南。