我已经用谷歌搜索并搜索了堆栈溢出,但没有找到明确的答案。像 github 和 bitbucket 这样的网站采取了哪些措施来确保公共存储库安全且没有恶意软件?我才刚刚想到我将多么盲目地遵循在线教程/指南并从我不知道或不理解的来源运行 git clone 命令。
有理由认为这是一个安全的过程吗? 我以前没有研究过这个,是不是充其量是无知,最坏的是鲁莽愚蠢?
这也可能会引发一个更大的问题,一个包将安装各种其他依赖包 - 这是引起更多关注的原因还是我可以遵循明确的审计/安全跟踪?
抱歉,如果我遗漏了一些明显的东西!
【问题讨论】:
标签: git security github bitbucket malware
您在 Internet 上遇到了一个普遍问题,那就是:允许公众发布任意内容的公司如何确定内容是否合适,是否具有合适的价值?答案是,在一般情况下,您无法以这种方式预先确定内容是否合适。 (对于计算机程序,这是因为停机问题。)
GitHub 确实提供了扫描某些语言的已知漏洞的能力,但出于显而易见的原因,仅限存储库管理员查看。否则,一般方法是在恶意内容变得明显时将其删除,这确实是在特定情况下可以做到的最好的方法。
如果您从受信任的来源(例如 Linux 发行版)获取代码,则它可能来自可安全运行的信誉良好的项目。否则,您可能会选择不运行来自未知作者的代码,或者更愿意检查由您的语言的包管理器安装的依赖项,以确保您只使用社区中受信任成员的知名包。当然,这只有助于保护您免受实际恶意软件的侵害,而不是恰好有安全漏洞的知名软件;为此,您应该经常应用安全更新。
【讨论】: