是否有任何机制,可以确保上传到packagist.org的软件包没有恶意代码。 是否有人在安装/上传的软件包中查看源代码。
例如:如果有人上传了包含主要功能的包,那么将我的配置文件发送到外部服务器会怎么样?
安装软件包就像在composer.json中添加一行一样简单,我有点担心上面的情况会发生。
答案 0 :(得分:1)
这是开源软件的祝福和诅咒。您通常可以使用完整的源代码进行检查。这意味着任何人都很难包含恶意代码,并且仍然无法检测到它,尽管它不是一个完整的保险。测量包裹周围的氛围,有多少人在使用它,问题跟踪器中的评论或票据说明了什么。
归结为:不要使用你不信任的软件。通过自己评估或通过信任社区来信任它来信任它。