我们如何确保通过Nuget Package Manager下载的软件包安全与客户机密数据一起使用?据我所知,任何人都可以为Nuget做出贡献,并且在某些情况下会引入恶意代码并且可以通过Visual Studio下载。
我们正试图找出一种方法来审核Nuget的包,以确保包的安全使用。
是否有任何可靠的公司/来源表示这些包装可以安全使用?
或者是否有人正在使用适合他们的审查程序?我们最不希望看到的是我们使用的每个软件包并研究它们的漏洞,因为这很费时间。
答案 0 :(得分:1)
确保机密数据免受Nuget包的侵害
当我们将NuGet包发布到nuget.org时,nuget将检查每个包以确定它是否安全。您可以从the document of nuget.org获取以下消息:
在公开之前,上传到nuget.org的所有包都是 扫描病毒并在发现任何病毒时被拒绝。所有 nuget.org上列出的软件包也会定期扫描。
因此nuget.org的软件包可以安全使用。
评论更新:
即使扫描包裹,也不意味着它们不易受到攻击。过时的软件包可能会使用可被利用的易受攻击的进程。
您的不安应适用于您从任何来源获得的软件,即使从“应用程序商店”(例如Apple iTunes,Android Market)下载的软件也可能包含恶意代码。 NuGet团队提出了各种约定和机制,以确保Nuget成为.Net开发人员可信赖的软件库来源,但仍无法保证所有软件包绝对安全。
作为用户,最终责任在于确保您的IT安全不受损害,并且您采取的预防措施至关重要。
我可以为您提供一些预防措施:
完全锁定语义版本号。明确指定主要,次要和补丁号码。不要认为新的更新是安全的,或者它们的语义版本是准确的。
仅使用众所周知的当前版本进行生产。
在具有有限访问权限的测试环境中试验任何内容。
检查供应商。
坦率地说,微软开发人员社区与典型的互联网用户社区截然不同,掠夺者潜伏在各个角落。此外,开发人员社区的知识水平要高得多。如果有人故意通过Nuget和Github等可信渠道发布恶意代码,他或她将被发现,曝光甚至被起诉。有意伤害的软件不能通过任何协议直接或间接保护。
希望这有帮助。