有人知道asdf是否有包含新插件的审查程序吗?我想推荐使用asdf,但是我们的安全人员想知道添加插件来安装恶意软件有多困难。
还是有更好的地方问?
asdf -vm核心中从不包含asdf插件。在机器上安装asdf时,默认情况下它不包含任何插件。所有插件都是从外部源手动安装的。安装插件最安全的方法是通过显式的asdf plugin-add <name> <url>
语法。例如,要安装由asdf核心团队维护的Ruby插件,请运行以下命令:
$ asdf plugin add ruby https://github.com/asdf-vm/asdf-ruby.git
创建一个插件来安装恶意软件有多难?插件就是Git的仓库,里面有回调脚本。这就像在Github上发布带有恶意软件的Git repo一样简单。攻击者面临的挑战将是说服开发人员安装它。这与当今大多数开源软件类似。创建一些糟糕的东西很容易,让开发人员使用它是棘手的。
有一种"插件报告"- https://github.com/asdf-vm/asdf-plugins但使用它的任何东西仍然需要你运行asdf plugin-add <plugin name>
。我们正在努力将其逐步淘汰,因为它似乎是"官方的"。但实际上并不是由核心团队来维护的。在未来,只有显式的asdf plugin-add <name> <url>
语法才能工作。此外,在未来,我们将为插件提供明确的版本控制,因此插件的升级将更容易跟踪。
没有什么可以阻止你自己审核开源的asdf插件。如果你的团队有一些他们想要使用的插件,手动或通过安全工具审核代码应该很容易。