根据此页面:
添加软件包没有中央审批流程。当您将包上传到 NuGet 包库(尚不存在)时,您无需等待数天或数周等待某人对其进行审核和批准。取而代之的是,在提要时,我们将依靠社区来进行自我调节和监管。这符合 CodePlex.com 和 RubyGems.org 的工作方式。
这让我感到不安。在我下载 Firefox 插件之前,我知道它不应该包含恶意代码,因为 AFAIK 上 addons.mozilla.org 上的所有插件都经过 Mozilla 审查。在我从 codeplex.com 或 code.google.com 下载开源项目之前,我知道它应该是安全的,因为任何人都可以检查它的源代码。而且我还可以使用 WOT(信任网络)来检查其他人对项目的看法。
但在我从 NuGet 官方包源下载包之前。以这个为例。我不知道这个包裹是谁做的,也不知道包裹里装的是什么。在我看来,任何人都可以将任何东西打包成一个包,给它起任何他们想要的名字(比如“Microsoft Prism”,只要名字不被占用),然后将它上传到官方包源。
我应该担心 NuGet 官方包源上的包的安全性吗?