有没有一种安全的方法来编译电子应用程序（没有 npm 安全问题）？

Posted 2023-03-22

【中文标题】有没有一种安全的方法来编译电子应用程序（没有 npm 安全问题）？

【英文标题】：is there a safe way to compile an electron app (with out npm security problems)?

【发布时间】：2021-10-16 11:35:30

【问题描述】：

我最近使用 node js , html ,css , js 构建了一个电子应用程序 并且一直想编译它，因为 npm 安装了 ifound (packager,build,forge) 的所有选项，但是 npm 说都有安全问题有没有安全的编译方式？ （为 windows 编译）

【参考方案1】：

大多数安全漏洞主要在“构建”包中，仅在编译期间运行，而不是在使用电子/nodejs 应用程序时运行，仅在构建/缩小/等时运行，但它们不是包含在最终产品中。

此外，大多数安全漏洞通常都是高度假设性的，漏洞发生的先决条件阈值很高。

如果您想确定，请阅读安全风险说明、要求什么，并评估它是否适用于您的系统、它是否在构建时包或运行时包中，以及它代表何种漏洞。

如果包含在应用程序中的程序包中存在漏洞，并且您需要修复它，因为它会对您的最终用户构成严重威胁，请检查该程序包的存储库，看看是否有人已经提交了一个拉取请求以获取尚未进入主分支的修复，并将其合并到您使用的版本中。

【讨论】：

谢谢，哪个编译器是最好的，而且我知道这是一个初学者的问题，但我想确定我的应用程序是否只在安全的计算机上本地运行而没有连接到网络，它的漏洞不能被剥削了吧？

别太担心。只需阅读安全说明。需要时调查代码和要求，并评估这是否适用于您的构建过程或运行时应用程序。但在“真实”世界中，这种担忧通常不适用于需要担心的小型初学者应用程序。如果在运行时库中发现可被利用的可能性很小的安全漏洞，只需定期更新您的应用即可。

非常感谢，所以总结一下电子打包器是相当安全的，它没有太大的安全问题，如果它关闭了它也没有太大的安全威胁（我很小心，因为它让我爸爸的办公室管理数据库所以它确实使用数据）