@Mooon 不必回应 @woshipanghu ,如果他同意自己的观点，这样的奇人我等只有参观与猎奇的份，思维不在一个维度上不需要反驳。如果他不认同自己的观点，仍然维护它,就是有目的的。他的方法就是抛出谬论附带人身攻击，把讨论环境搅和的乌烟瘴气。非蠢即坏，何必搭理。再一个我想起一句话：“看头像，知成份”

@woshipanghu 你的逻辑 1：免费的就一定是好心的，所以不需要质疑。逻辑 2：免费的就不可以质疑，质疑就是坏。。。 。。。

@ysc3839 如果 npm 不会主动校验，那开梯子好了。信任没有绝对，只能选择相信相对可信的。

@magicdawn 那也许会有，之前不是坐实什么讯公司的游戏会扫 firefox 的访问历史记录吗。新闻可以搜到的。 这不是很离谱的行为吗？一个游戏为什么想知道我访问了哪些网站。。。 。。。 后来闹大了，x 讯公司的解释是反外挂。。。 。。。真的无法相信它的解释

@dawei211 您说的对，国产的一些软件，有些不得不用，比如大厂的即时通讯和移动支付，google play 有我就安 play 版的，没有就 shelter 沙盒里运行。 信任边界窄 真的是害人也害已，因为在乎的人需要付出一些成本，才能放弃或使用到那些软件的功能。

@dfkjgklfdjg 夹带一私货就是进行修改加后门等别人安装，安装之后就有了后门，然后就可就通过这个后门对设备进行控制，或者主动上传信息啊。
收集信息不是无法感知，而是不容易感知，对文件 IO 监测，流量监测，也能发现点蛛丝马迹。
肉身翻墙太难了，希望你说的不是走线哈哈。

@totoro52 您说的有道理，学到了。校对 md5 是默认打开，安装软件的时候 npm 主动进行的吗？打比方，npm install 一些东西，不需要我人工进行校对，电脑自己就把这事做了。

@dawei211 思考了，那就是我需要好好的学一下英语，因为查官方文档一定能得到答案，可惜英语不过关

@t
@RRRSSS 明白了，谢谢您的回复。

@dfkjgklfdjg 关于为什么要夹带私货，因为搜集信息是有价值的，你看看安卓上那些国产毒瘤，因为安卓版本迭代限制越来越严现在是好一些了，以前简直丧心病狂。虽然我这也没什么怕他注意的，但是本身有些抵触这样的行为 。

@iqoo 这是自建的吧，我用的机场的。。。 。。。真的贵的。自建我也有，被封了套 cdn 呢，那速度。。。 。。。

@dlsflh 别闹啊大哥，很严肃的在问。也有可能不会有资安问题。如果它像 debian 的 apt 一样，无论从哪里下载的包，都要在本地来签名验证，就不存在第三方镜像和官方镜像不一样的问题。因为修改后会验证不通过进而不安装。

最多是版本落后于官方，但一定是从官方原版镜像的。因为作了个修改，本地验证就不可能通过。因为本地验证用的证书是官方的。

其实，我觉得大概率 npm 也是这种验证机制。但不完全确定，就问问啊。

@wudicgi 您这一提，资安是台湾的说法，经常看相关资讯，不自觉的用上了。。 。。。

跳出框架，学五笔。肓打，爽的飞起。

这个时候，要有原则。
购物三大原则：你喜欢，你需要，适合你。

@flyqie 嗯谢谢您的回复，我明白您的意思了。举一反三,以后使用任何 github 上下载的软件，都适用。

@feedcode
@lolizeppelin 谢谢您的回复，有可能这是 ubuntu 使用的版本的原因吧，而我的系统是 debian,把 Type=notify 改成 Type=simple , 再删除 WatchdogSec=30s ，后台就可以稳定运行了。

@xinJang 你说的有道理，所有不开源的软件或系统。都有可能被放后门。但是也要看是谁放的后门，对象不同，危害程度不同。

@AkideLiu 用源码编译，还是很可信的。因为项目都是一步步成长起来的，总有人会关注每一次提交的 commit.所以源码有问题的可能性还是很小的，个人认为。