如果我使用brew
或brew cask
(在macOS上)或npm
或pip
或composer
或类似的程序包/代码/库管理器安装东西,我一直想知道:
他们从哪里获得内容,谁来管理或促进或托管所有这些软件,软件包,模块或库?哪个实体?
是否有任何检查,安全过滤器,审核,验证或其他机制来阻止通过这些程序包管理器分发的程序包或库中的恶意软件?
答案 0 :(得分:0)
软件包列表存储在https://packagist.org/中,但是只有元数据。软件包直接从相关存储库(通常是GitHub或GitLab)下载,Packagist不存储或分析其内容。因此,尽管看起来有些令人恐惧,但安全模型是基于对供应商的信任或直接的代码审查。没有一种神奇的解决方案可以假装它可以保护您免受恶意软件的侵害-您需要考虑自己在做什么以及项目中包含了哪些依赖项(或者至少自己使用一些恶意软件扫描程序)。