我的意思不是冒犯,但是当我设置Octoprint时,我的一位持怀疑态度的同事指出,它想联系以检查自动软件更新,为潜在的攻击者创造广阔的表面积。
毕竟,RaspberryPi是我家庭网络中的一个设备,我担心如果它下载并运行旨在查找我网络上其他易受攻击的设备的代码会发生什么。
我想我可以阅读开源代码,但我不知道软件交付的故事是什么。
打算捐赠给Gina Häußge的Patreon直接询问。
您可以关闭Octoprint的自动更新功能。它也是开源的,因此您可以修改其代码以永不联系互联网。
引用 Gina Häußge:
与您在计算机上安装的任何软件一样,无法保证它不会被滥用。OctoPrint的更新机制仅通过HTTPS使用Github版本,我要求任何对存储库具有提交访问权限的人启用双因素身份验证。这应该使得通过官方更新机制推送任何流氓版本的可能性相当小。您也可以完全拒绝OctoPrint访问互联网,它会运行良好。请记住,您需要手动处理更新和插件安装等。说到插件,您显然也不应该安装网络上某处找到的任何内容。我尽最大努力审核在官方存储库中注册的插件,但我不能保证它们的作者为他们的存储库启用了 2FA 等......我只能告诉你,我尽力而为,在安全性上花了很多心思,如果压力来了,你总是可以自己阅读代码。