Visual studio 确保机密数据不受Nuget软件包的影响_Visual Studio_Security_Nuget_Nuget Package

Visual studio 确保机密数据不受Nuget软件包的影响

visual-studio security nuget

Visual studio 确保机密数据不受Nuget软件包的影响,visual-studio,security,nuget,nuget-package,Visual Studio,Security,Nuget,Nuget Package,我们如何确保通过Nuget Package Manager下载的软件包可以安全地与客户机密数据一起使用？据我所知，任何人都可以为Nuget做出贡献，在某些情况下，恶意代码被引入，并可能通过VisualStudio下载我们正试图找出一种方法来审查Nuget的软件包，以确保软件包使用安全是否有可靠的公司/消息来源表明这些软件包使用安全或者是否有人正在使用为他们工作的审查程序？我们最不想做的就是检查我们使用的每个软件包并研究它们的漏洞，因为这很耗时确保机密数据不受Nuget软件包的影响当我们

我们如何确保通过Nuget Package Manager下载的软件包可以安全地与客户机密数据一起使用？据我所知，任何人都可以为Nuget做出贡献，在某些情况下，恶意代码被引入，并可能通过VisualStudio下载

我们正试图找出一种方法来审查Nuget的软件包，以确保软件包使用安全

是否有可靠的公司/消息来源表明这些软件包使用安全

或者是否有人正在使用为他们工作的审查程序？我们最不想做的就是检查我们使用的每个软件包并研究它们的漏洞，因为这很耗时

确保机密数据不受Nuget软件包的影响

当我们将NuGet包发布到NuGet.org时，NuGet将检查每个包以确定它是否安全。您可以从以下网址获得以下信息：

在公开之前，上传到nuget.org的所有包都是扫描病毒，如果发现任何病毒，将被拒绝。全部的 nuget.org上列出的软件包也会定期扫描

因此，nuget.org上的软件包可以安全使用

更新评论：

即使扫描了软件包，但这并不意味着它们不易受攻击。过时的软件包可能使用易受攻击的进程

你的不安应该适用于你从任何来源获得的软件，即使是从“应用商店”（如苹果iTunes、Android Market）下载的软件也可能包含恶意代码。NuGet团队提出了一些约定和机制，以确保NuGet成为.Net开发人员值得信赖的软件库来源，但仍然无法保证所有包都是绝对安全的

用户的最终责任在于确保您的IT安全不受损害，而您采取的预防措施至关重要
我可以向您提供一些预防措施：

完全锁定语义版本号。明确指定主要、次要和修补程序编号。不要假设新的更新是安全的，或者它们的语义版本是准确的

仅在生产中使用众所周知的当前版本

在访问受限的测试环境中尝试任何东西

检查供应商

坦率地说，微软开发者社区与典型的互联网用户社区大不相同，那里的每个角落都潜伏着掠夺者。此外，开发人员社区的知识水平要高得多。如果有人故意通过Nuget和Github等可信渠道发布恶意代码，他或她将被发现、曝光甚至起诉。任何协议都不能直接或间接地保护出于恶意编写的软件

希望这有帮助。
即使扫描了软件包，也不意味着它们不易受攻击。过时的软件包可能会使用易受攻击的进程。@JustinJmnz，我已经更新了我的答案供您评论，您可以检查它是否对您有帮助。