Есть идея: система разрешений для npm-пакетов

[MeGaPk]

TL;DR; сделать sandbox в NodeJS, аля как в ios / macos.

[PYXRU]

Создатель Nodejs примерно таким занимается github.com/denoland/deno

[TargetSan]

Не совсем понятно, как это защитит от eval. Или если плохой пакет будет воровать чужие импорты.

[balsoft]

А что мешает пакету, реально работающему с ФС/Сетью/… начать воровать данные и вместо со своей нормальной работой их подменять? Ах да, ничего… www.infoq.com/news/2016/03/npm-infection

[rozhik]

Как по мне, то мечты хороши, но лучше перенести головную боль за безопасность на операционную систему. миллипроцента быстродействия от использования потомков chroot + виртуалки совершенно не жалко, где нужна безопасность. Пихать политики на сторону ноды — расточительно и бестолково (хотя никто не знает что будет следующим хайпом). В текущей ноде и так достаточно не нужного мне лично стафа. Усилия по повышению безопасности в npmjs были бы на порядок востребованней.