[博客翻译]被阻止为lodash做出贡献
被lodash项目拒之门外的贡献经历
2025年10月6日
我的GitHub账号被禁止向lodash项目提交安全改进方案。这是我时隔多年首次参与开源贡献,遗憾的是似乎白费了功夫。不过这段经历让我学到了一些开源贡献的经验教训,或许对他人有所启发。
背景溯源
最近我一直在深入研究如何提升JavaScript生态的供应链安全。一个核心痛点是:我们无法确认代码包的真实来源及其构建发布过程。攻击者利用这个漏洞发起钓鱼攻击——他们窃取凭证后直接向npm仓库发布恶意版本,完全绕过CI/CD流程。而用户执行npm inst...