确保机密数据免受Nuget包的侵害

时间:2017-12-15 14:50:57

标签: visual-studio security nuget nuget-package

我们如何确保通过Nuget Package Manager下载的软件包安全与客户机密数据一起使用?据我所知,任何人都可以为Nuget做出贡献,并且在某些情况下会引入恶意代码并且可以通过Visual Studio下载。

我们正试图找出一种方法来审核Nuget的包,以确保包的安全使用。

是否有任何可靠的公司/来源表示这些包装可以安全使用?

或者是否有人正在使用适合他们的审查程序?我们最不希望看到的是我们使用的每个软件包并研究它们的漏洞,因为这很费时间。

1 个答案:

答案 0 :(得分:1)

  

确保机密数据免受Nuget包的侵害

当我们将NuGet包发布到nuget.org时,nuget将检查每个包以确定它是否安全。您可以从the document of nuget.org获取以下消息:

  

在公开之前,上传到nuget.org的所有包都是   扫描病毒并在发现任何病毒时被拒绝。所有   nuget.org上列出的软件包也会定期扫描

因此nuget.org的软件包可以安全使用。

评论更新:

  

即使扫描包裹,也不意味着它们不易受到攻击。过时的软件包可能会使用可被利用的易受攻击的进程。

您的不安应适用于您从任何来源获得的软件,即使从“应用程序商店”(例如Apple iTunes,Android Market)下载的软件也可能包含恶意代码。 NuGet团队提出了各种约定和机制,以确保Nuget成为.Net开发人员可信赖的软件库来源,但仍无法保证所有软件包绝对安全。

作为用户,最终责任在于确保您的IT安全不受损害,并且您采取的预防措施至关重要

我可以为您提供一些预防措施:

  1. 完全锁定语义版本号。明确指定主要,次要和补丁号码。不要认为新的更新是安全的,或者它们的语义版本是准确的。

  2. 仅使用众所周知的当前版本进行生产。

  3. 在具有有限访问权限的测试环境中试验任何内容。

  4. 检查供应商。

  5. 坦率地说,微软开发人员社区与典型的互联网用户社区截然不同,掠夺者潜伏在各个角落。此外,开发人员社区的知识水平要高得多。如果有人故意通过Nuget和Github等可信渠道发布恶意代码,他或她将被发现,曝光甚至被起诉。有意伤害的软件不能通过任何协议直接或间接保护。

    希望这有帮助。