[编辑:2013年6月] 一篇论文已经出现在ArXiv上,更详细地描述了这个问题,并提出了一些解决方案:http://arxiv.org/abs/1303.4808。它将于2013年晚些时候出现在Journal of Statistical Software中。
我的Ubuntu服务器上有一个cronjob,可以从CRAN下载并安装每个源包。但是在同一台服务器上我开始注意到一些不规则的活动。它可能完全不相关,但它让我想到是否有可能某些CRAN软件包包含恶意代码。
创建和发布曲文包的过程非常简单。也许有点太容易了。您将包上传到FTP,Kurt将进行检查并发布。随着每天上传的R包的数量,可以合理地假设没有对包进行广泛的审计。此外,没有使用私钥签署包,就像大多数发行包一样。甚至描述中的电子邮件地址也很少得到验证。
现在,在编译时或运行时包含一些安装rootkit的代码并不是很难。编译时间可能更容易受到攻击,因为我使用sudo安装我的软件包,我可能应该停止这样做。但是在运行时也可以做很多事情。 Linux内核最近有几个安全漏洞,我已经证实自己在一个完全最新的系统上通过权限升级漏洞获取root非常容易。由于R通常具有互联网访问权限,因此恶意代码甚至不必包含在软件包中,只需使用wget或download.file()即可从某处下载。
那就是说R用户是否考虑过这个?或者,您的理念主要是您应该只从您信任的人那里下载包裹?仍然没有签署不太可靠的包裹。什么是更安全的方法来安装曲线包?我已经考虑过类似于单独的机器来构建包然后复制二进制文件,并且总是在沙箱中运行R.但这有点麻烦。