1
是否有任何機制,可以確保上傳到packagist.org的包沒有惡意代碼。 是否有人在安裝/上傳的軟件包中查看源代碼。作曲家和包裝師 - 如何避免惡意代碼注入
例如:如果某人上傳了主要功能的軟件包,除了將我的配置文件發送到外部服務器之外呢?
當安裝軟件包非常簡單,只需在composer.json中添加一行,我有點擔心上述情況會發生。
A
回答
1
這是開源軟件的祝福和詛咒。您通常可以查看整個源代碼。這意味着任何人都很難包含惡意代碼,並且仍然未被發現,儘管這並不是完全的保險。衡量包裹周圍的氛圍,有多少人正在使用它,問題跟蹤器中的評論或票證說什麼。
歸結爲:不要使用你不信任的軟件。通過自己評估或相信社區已經這樣做來信任它。
+1
讓我想起[GitHub上的WordPress請求#18](https://www.google.com/search?q=https:%2F%2Fgithub.com%2FWordPress%2FWordPress%2Fpull%2F18)(不幸的是,沒有可用時間更長)。 – Gumbo 2013-02-09 23:20:18
相關問題
- 1. 保護免受惡意的sql注入
- 2. 工具查找注入惡意代碼?
- 3. 如何避免惡意請求漏洞
- 4. 注入惡意JavaScript代碼 - 但不採取任何惡意行爲?
- 5. 如何避免作曲家的PHP軟件包?
- 6. 如何讓作曲家安裝非作曲家包?
- 7. 作曲家/ PHP:如何檢查作曲家包是否安裝?
- 8. 如何安全地測試注入網站的惡意代碼?
- 9. 避免在作曲家中使用sudo
- 10. 如何調試惡意軟件注入代碼?
- 11. 避免代碼注入與MongoDB的
- 12. PHP代碼,以避免SQL注入
- 13. 避免安裝作曲家的生產需要,開發庫
- 14. 如何安裝不作曲家作曲PHP包?
- 15. 如何避免作曲家丟棄更改消息
- 16. 如何避免醜陋的作曲家地獄的文件夾?
- 17. 惡意JavaScript代碼
- 18. 如何在網站上發現惡意代碼/惡意軟件
- 19. 惡意JavaScript注入(Hostads.cn)
- 20. 如何避免JS代碼輸入?
- 21. 如何避免網址中的代碼注入
- 22. 避免意大利麪代碼(gamestatemanager)
- 23. 避免MySQL注入和XSS
- 24. 從作曲家包
- 25. 如何避免惡意使用下載屬性?
- 26. 惡意代碼注入到Drupal 7的網站(html.tpl.php)
- 27. Joomla惡意代碼移除
- 28. 作曲家:包安裝需要svn/git?
- 29. 作曲家按分支包
- 30. 作曲家安裝
不要安裝你不信任的軟件包嗎? – Jon 2013-02-09 20:35:03