最近刚发生 Vant 和 Rspack 成员的 npm token 泄漏的事件，猜测可能是成员没有配置两步验证。

如果你项目的自动化里有使用 npm token 用于发布版本，那请留意你的 npm token 的类型若是 publish的话则说明此 token 拥有者并没有开启npm 登录的两步验证。建议修改为 automation 类型提高安全性。

此外，也可以在 package 的设置里要求发布版本时必须使用 2FA、automation、granular 其中之一的发布方式来防止 publish 类型的 token 被误用。

#开源