Original Sin of npm 論文閱讀分析:很多 JavaScript 供應鏈真正危險的,不是你今天又裝了哪個新套件,而是那幾個老洞早就沿著 dependency graph 長成整片陰影
這篇論文最有意思的地方,不是再一次提醒 npm 供應鏈有風險,而是清楚指出:少數高頻老漏洞會沿著 dependency network 被整個生態反覆繼承,讓 JavaScript 供應鏈風險更像結構性傳染,而不是零星個案。
2026 年 4 月 22 日
Empowering Your Cybersecurity, One Tool at a Time.