我在谷歌上搜索了堆栈溢出,但没有找到明确的答案。像github和bitbucket这样的网站采取了哪些步骤来确保公共存储库的安全和没有恶意软件?我才刚刚想到,我会多么盲目地遵循在线教程/指南,并从我不知道或不理解的来源运行git-clone命令。
有理由认为这是一个安全的过程吗?我以前不研究这个问题,往好里说是无知,往坏里说是鲁莽愚蠢吗?
这也提出了一个更大的问题,一个软件包将在哪里安装各种其他依赖性软件包——这是引起更多关注的原因,还是我可以遵循明确的审计/安全跟踪?
如果我遗漏了一些显而易见的东西,我深表歉意!
你在互联网上遇到了一个普遍的问题,那就是:允许公众发布任意内容的公司如何确定这些内容是否合适,是否合适?答案是,在一般情况下,你不能以这种方式预先确定内容是否合适。(对于计算机程序来说,这是因为停顿问题。(
GitHub确实提供了扫描某些语言中已知漏洞的功能,但出于显而易见的原因,查看权限仅限于存储库的管理员。否则,通常的方法是在恶意内容变得明显时将其删除,这确实是在特定情况下可以做的最好的事情。
如果你的代码来自一个可信的来源,比如Linux发行版,那么它可能来自一个可以安全运行的信誉良好的项目。否则,您可能会选择不运行来自未知作者的代码,或者更喜欢检查语言包管理器安装的依赖项,以确保您只使用社区中受信任成员的已知包。当然,这只会帮助你免受真正的恶意软件的攻击,而不是碰巧有安全漏洞的信誉良好的软件;为此,您应该经常应用安全更新。