1

是否有任何机制可以确保上传到 packagist.org 的包没有恶意代码。是否有人查看已安装/上传的软件包中的源代码。

例如:如果有人上传了具有主要功能的包并将我的配置文件发送到外部服务器怎么办?

当安装包很容易,比如在 composer.json 中添加一行时,我有点担心会发生上述情况。

4

1 回答 1

2

这就是开源软件的福与祸。您通常可以检查整个源代码。这意味着任何人都很难包含恶意代码并使其未被检测到,尽管这并不是针对它的完全保险。衡量包装周围的氛围,有多少人在使用它,问题跟踪器中的评论或票证说什么。

归结为:不要使用您不信任的软件。通过自己评估或相信社区已经这样做来信任它。

于 2013-02-09T20:38:08.223 回答