我没有任何冒犯的意思,但是当我设置 Octoprint 时,我的一位持怀疑态度的同事指出,它希望伸出手来检查自动软件更新,从而为潜在的攻击者创造广阔的表面积。
毕竟,RaspberryPi 是我家庭网络中的一个设备,我担心如果它下载并运行旨在查找我网络上其他易受攻击设备的代码会发生什么。
我想我可以阅读开源代码,但我不知道软件交付的故事是什么。
计划捐赠给Gina Häußge 的 Patreon直接询问。
问问题
58 次
2 回答
1
您可以关闭 Octoprint 的自动更新功能。它也是开源的,因此您可以修改它的代码以从不接触互联网。
于 2019-03-27T01:53:20.767 回答
0
与您在计算机上安装的任何软件一样,不能保证它不会被滥用。OctoPrint 的更新机制仅通过 HTTPS 使用 Github Releases,我要求任何对存储库具有提交访问权限的人启用两因素身份验证。这应该使得通过官方更新机制推送任何流氓版本的可能性很小。您也可以完全拒绝 OctoPrint 访问互联网,它会运行得很好。请记住,您需要手动处理更新和插件安装等。说到插件,你显然也不应该安装你在网上某个地方找到的任何东西。我尽我所能审核在官方存储库中注册的插件,
于 2019-03-28T18:41:22.290 回答