brew、cask、pip、npm、composer等从何处获取其内容，以及如何防止恶意软件？_Npm_Composer Php_Package_Homebrew_Packages

brew、cask、pip、npm、composer等从何处获取其内容，以及如何防止恶意软件？

npm composer-php

brew、cask、pip、npm、composer等从何处获取其内容，以及如何防止恶意软件？,npm,composer-php,package,homebrew,packages,Npm,Composer Php,Package,Homebrew,Packages,如果我使用brew或brew cask（在macOS上）或npm或pip或composer或类似的软件包/代码/库管理器安装东西，我总是想知道：他们从哪里获得内容，管理、促进或托管所有这些软件、软件包、模块或库的是谁或什么实体是否有任何检查、安全过滤器、审核、验证或其他机制来防止通过这些包管理器分发的包或库中的恶意软件作曲家包列表存储在，但只有元数据。软件包直接从相关的存储库（通常是GitHub或GitLab）下载，Packagist不存储或分析其内容。因此，虽然看起来有点可怕，但安全模

如果我使用

brew

或

brew cask

（在macOS上）或

npm

或

pip

或

composer

或类似的软件包/代码/库管理器安装东西，我总是想知道：

他们从哪里获得内容，管理、促进或托管所有这些软件、软件包、模块或库的是谁或什么实体

是否有任何检查、安全过滤器、审核、验证或其他机制来防止通过这些包管理器分发的包或库中的恶意软件

作曲家包列表存储在，但只有元数据。软件包直接从相关的存储库（通常是GitHub或GitLab）下载，Packagist不存储或分析其内容。因此，虽然看起来有点可怕，但安全模型是基于对供应商的信任或直接代码审查。没有神奇的解决方案可以假装它可以保护你免受恶意软件的攻击——你需要考虑你在做什么，以及你在项目中包含了哪些依赖项（或者至少自己使用一些恶意软件扫描器）