随着软件供应链攻击事件的频发，NPM生态系统的安全性已成为开发者社区关注的焦点。近日，GitHub上开源项目《npm-security-best-practices》系统性地总结了针对NPM、Bun、Deno、pnpm及Yarn等主流包管理工具的防护策略。该指南从开发者和维护者双视角提出关键措施：开发者需通过锁定依赖版本、提交锁文件至代码库、禁用生命周期脚本及减少外部依赖来降低风险；维护者则应强制启用双因素认证（2FA）、创建最小权限令牌、生成来源证明声明并严格审核发布文件。这些实践结合了软件供应链安全领域的前沿理念，如可信发布和最小权限原则，对应对日益复杂的依赖注入、恶意包植入等攻击具有重要行业参考价值。