1

packagist.org にアップロードされたパッケージに悪意のあるコードが含まれていないことを保証できるメカニズムはありますか? インストール/アップロードされたパッケージのソースコードを見ている人はいますか?

例:誰かがメイン機能を実行するパッケージをアップロードし、それとは別に構成ファイルを外部サーバーに送信した場合はどうなりますか?

パッケージのインストールが composer.json に 1 行追加するだけの簡単な場合、上記の状況が発生するのではないかと少し心配です。

4

1 に答える 1

2

それがオープンソースソフトウェアの祝福と呪いです。通常、ソースコード全体を検査に利用できます。これは、悪意のあるコードを含めて検出されないままにすることは非常に難しいことを意味しますが、それに対する完全な保険ではありません。パッケージの周りの雰囲気、それを使用している人の数、課題追跡システムのコメントやチケットの内容を測定します。

つまり、信頼できないソフトウェアを使用しないでください。自分で評価するか、コミュニティに評価してもらうことで、それを信頼してください。

于 2013-02-09T20:38:08.223 に答える