“Repo-jacking”是一种供应链攻击，可能对开源软件产生影响。从软件包管理器获取软件依赖项可以避免直接受到repo-jacking的影响。直接从GitHub获取依赖项需要小心，可以通过锁定到特定的提交ID来解决。供应链攻击是严重问题，但通过repo-jacking实现大规模供应链攻击的机会很小。软件包管理器是最有可能的攻击向量，但除非具有维护者凭据，否则不允许使用repo-jacking上传恶意软件。