NuGet官方软件包来源:我应该担心软件包的安全吗?
根据: 没有用于添加包的中央审批流程。当你上传一个软件包到NuGet软件包库(目前还不存在)时,你不必等待几天或几周等待别人审查和批准。相反,当涉及到feed时,我们将依靠社区来调节和监督自己。这就是CodePlex.com和RubyGems.org的工作原理 这让我感到不安。在下载Firefox插件之前,我知道它不应该包含恶意代码,因为AFAIK addons.mozilla.org上的所有插件都是由mozilla审查的。在我从codeplex.com或code.google.com下载开源项目之前,我知道它应该是安全的,因为任何人都可以检查它的源代码。我还可以使用WOT(信任网)检查其他人对项目的看法 但在我从NuGet官方软件包源下载软件包之前。比如说。我不知道这个包裹是谁做的,也不知道里面装的是什么。在我看来,任何人都可以把任何东西打包成一个包,给它取任何他们想要的名字(比如“MicrosoftPrism”,只要不取名字),然后上传到官方的包源NuGet官方软件包来源:我应该担心软件包的安全吗?,nuget,nuget-package,Nuget,Nuget Package,根据: 没有用于添加包的中央审批流程。当你上传一个软件包到NuGet软件包库(目前还不存在)时,你不必等待几天或几周等待别人审查和批准。相反,当涉及到feed时,我们将依靠社区来调节和监督自己。这就是CodePlex.com和RubyGems.org的工作原理 这让我感到不安。在下载Firefox插件之前,我知道它不应该包含恶意代码,因为AFAIK addons.mozilla.org上的所有插件都是由mozilla审查的。在我从codeplex.com或code.google.com下载开源项
我是否应该担心NuGet官方软件包源上软件包的安全性?您的不安应该适用于您从任何来源获得的软件:
我相信,社区将提出一些惯例和机制,以确保Nuget成为.Net开发人员值得信赖的软件库来源,同时保持其灵活性,不需要正式的审查过程。但是,最终责任在于您作为用户,确保您的IT安全不受损害,并且您采取的预防措施是您正在编写的软件环境中IT安全关键性的一项功能(例如,家庭项目;可能是低成本的;银行、医疗、过程控制项目;可能是高成本的!)NuGet无法管理信任。即使是这样,你仍然需要担心相信NuGet信任的东西 您应该绝对关注NuGet包中代码的安全性。您应该关心您不熟悉的任何代码的安全性 通过NuGet和NPM,我个人和专业地使用软件包的方法如下: