Bitbucket/GitHub 上的恶意软件预防
Malware Prevention on Bitbucket/GitHub
我用谷歌搜索并搜索了堆栈溢出,但没有找到明确的答案。 github 和 bitbucket 等网站采取了哪些措施来确保 public 存储库安全且没有恶意软件?我只是刚刚想到,我将如何盲目地遵循来自我不知道或不理解的来源的在线 tutorials/guides 和 运行 git 克隆命令。
有理由认为这是一个安全的过程吗?
我以前没有研究过这个问题,往好里说是无知,往坏里说是鲁莽愚蠢吗?
这可能也引发了一个更大的问题,即一个包将安装各种其他依赖包 - 这是否引起了更多关注,或者是否有明确的 audit/security 我可以遵循的线索?
抱歉,如果我遗漏了一些明显的东西!
你在网上遇到了一个普遍的问题,就是:允许一般public到post任意内容的公司如何判断内容是否适合某些人值合适吗?答案是,在一般情况下,您不能通过这种方式预先确定内容是否合适。 (对于计算机程序,这是因为停机问题。)
GitHub 确实提供了扫描某些语言中已知漏洞的能力,但出于显而易见的原因,仅限于存储库的管理员查看。否则,一般的做法是在恶意内容变得明显时将其删除,这确实是在这种情况下可以做的最好的事情。
如果您的代码来自受信任的来源,例如 Linux 发行版,它可能来自对 运行 安全的信誉良好的项目。否则,您可以选择不 运行 来自未知作者的代码,或者更愿意检查您语言的包管理器安装的依赖项,以确保您只使用社区中受信任成员的知名包。当然,这只会帮助保护您免受真正的恶意软件的侵害,而不是恰好有安全漏洞的信誉良好的软件;为此,您应该经常应用安全更新。
我用谷歌搜索并搜索了堆栈溢出,但没有找到明确的答案。 github 和 bitbucket 等网站采取了哪些措施来确保 public 存储库安全且没有恶意软件?我只是刚刚想到,我将如何盲目地遵循来自我不知道或不理解的来源的在线 tutorials/guides 和 运行 git 克隆命令。
有理由认为这是一个安全的过程吗? 我以前没有研究过这个问题,往好里说是无知,往坏里说是鲁莽愚蠢吗?
这可能也引发了一个更大的问题,即一个包将安装各种其他依赖包 - 这是否引起了更多关注,或者是否有明确的 audit/security 我可以遵循的线索?
抱歉,如果我遗漏了一些明显的东西!
你在网上遇到了一个普遍的问题,就是:允许一般public到post任意内容的公司如何判断内容是否适合某些人值合适吗?答案是,在一般情况下,您不能通过这种方式预先确定内容是否合适。 (对于计算机程序,这是因为停机问题。)
GitHub 确实提供了扫描某些语言中已知漏洞的能力,但出于显而易见的原因,仅限于存储库的管理员查看。否则,一般的做法是在恶意内容变得明显时将其删除,这确实是在这种情况下可以做的最好的事情。
如果您的代码来自受信任的来源,例如 Linux 发行版,它可能来自对 运行 安全的信誉良好的项目。否则,您可以选择不 运行 来自未知作者的代码,或者更愿意检查您语言的包管理器安装的依赖项,以确保您只使用社区中受信任成员的知名包。当然,这只会帮助保护您免受真正的恶意软件的侵害,而不是恰好有安全漏洞的信誉良好的软件;为此,您应该经常应用安全更新。