我检查了Nuget submission process,但没有找到任何有关基本检查或审核流程的信息。
那么如果有人提交了一个电子邮件模板帮助程序包,那么该怎么办呢,但它实际上会进行电子邮件嗅探。
如果我错过了这里的任何内容,请纠正我。
答案 0 :(得分:3)
没有中央审核流程 - 您是对的。当你从任何来源获得编译的二进制文件时,你应该谨慎行事。有人可能会将恶意代码放在任何公共网站上(sourceforge,cnet等)。
安全是关于最小化风险,而不是消除风险。如果您的数据/信息至关重要,您应该自己审查软件(或者让知识渊博的人做这件事)。您不仅可以下载恶意代码,还可以为软件包引入漏洞。这里的负担是最终用户的负担。此外,仅仅因为软件被“审核”并不能使其安全。 Here is an article关于提交给AppStore并获得批准的恶意软件。这不是一个孤立的事件。
如果这是针对您的具有非机密数据的个人/小型项目,如果您坚持使用包含大量评论的相对广泛使用的软件包,我不会非常担心。社区可以帮助警察做这类事情,因为每个扩展都有一个“向Microsoft扩展报告”链接。