Original Sin of npm 論文閱讀分析:很多 JavaScript 供應鏈真正危險的,不是你今天又裝了哪個新套件,而是那幾個老洞早就沿著 dependency graph 長成整片陰影
這篇論文最有意思的地方,不是再一次提醒 npm 供應鏈有風險,而是清楚指出:少數高頻老漏洞會沿著 dependency network 被整個生態反覆繼承,讓 JavaScript 供應鏈風險更像結構性傳染,而不是零星個案。
2026 年 4 月 22 日
Software Supply Chain Security
2026
ZitPit 論文閱讀分析:當 AI Coding Agent 把「看 repo、抓依賴、直接執行」壓成同一口氣,真正缺的其實是 consumer-side admission control
ZitPit 論文閱讀分析:當 AI C...
2026 年 4 月 18 日