package.jsonまたはbower.jsonファイルを本番環境にデプロイしないでください。
Webページを提供するときは、OSとサーバーのバージョン情報を非表示にすることをお勧めします。 package.jsonまたはbower.jsonファイルに含まれるjsライブラリのバージョン情報はどうですか?これは既知の脆弱性を調べることで攻撃を作成するために使用できるようです。しかし、最終的には、ユーザーがファイルを見るだけで自分でこれを理解できることを知っているので、価値があるのでしょうか。
編集:私はまた、セキュリティ上の懸念に関係なく、標準的な慣行に興味があります。
Package.jsonおよび同様のファイルへのアクセスを許可することは、情報開示の一部となるため、通常は回避する必要があります。 JSライブラリに既知の脆弱性があるシナリオでは、これをWebルートでアクセス可能なままにしておくと、攻撃者は有効なターゲットのリストをすばやく作成できます。
非常に高いリスクの問題になる可能性は低いですが、攻撃者に情報を提供しないという一般的な原則が成り立つため、エンドユーザーがアクセスできる形式で本番環境に配置することはできません。
このリスクに対処するための標準的な実践の観点から。通常、これらのファイルは、デプロイメントプロセスの一部として削除するか、.htaccessなどを使用してアクセスできないようにします。