我的部分应用程序允许用户提交他们的xcode项目到我的服务器,然后我们将编译它们并运行各种测试。
现在我们已经和几百个值得信任的人进行了测试,但我想知道我们是否需要对每次编译进行某种沙箱。
是否有任何途径可以用这个工作流做一些恶意的事情?
有人能在仓库里放一些东西,当xcodebuild运行时执行?
我可以/应该禁用我存储项目的目录中的可执行文件吗?
欢迎任何其他评论。由于
是的,为此你需要某种沙箱——使用run Script构建阶段从Xcode项目运行任意shell脚本是可能的。禁用可执行文件不会阻止这些脚本的运行,并且一些项目无论如何都会有合法的需要它们(例如,自动生成或预处理源文件)。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium