这是一个非常普遍的问题,我认为我的背景并不重要。
假设有一个插件系统,因此用户可以安装插件并具有新功能,因此他们会继续不小心安装它们。
但是存在安全问题。 插件可能包含编写错误的代码,甚至包含恶意代码 。
稳定性的一个解决方案是将插件与应用程序的其余部分隔离(这是Google Chrome所做的,效果非常好)。
但是关于安全性,它是不同的。
如果我要确保插件“安装”安全,那不仅会对插件的限制产生很大影响,而且还会迫使我为插件制作一个完整的API /格式(让我们说嵌入一个脚本引擎),我宁愿不做(更简单的是将它们作为库)。
那么,我该怎么办插件呢? 用户应该负责 以确保安全吗?我是否需要插件提交的源代码并检查/签署“可信插件”? 你会怎么做? (这不是一个企业应用程序,它是一个开源的个人项目。)
答案 0 :(得分:2)
如果是开源项目,那么我猜大多数插件也都是开源的,这意味着任何人(当然,只有经验丰富的社区部分会这样做)才能探索插件的源代码,这使得它在安全性和安全性方面同时降低。因为任何人都可以通过探索代码并利用这些问题来发现安全问题,但另一方面,根据您的社区活动,安全问题会很快被人们所知并修复。当然,有人不太可能故意将恶意代码放入开源插件中。
您还可以创建一个插件网站,用户将在该网站上发布有关插件的评级,您(作为网站和产品所有者)可以推荐一些好的和“安全”的插件。这就是Mozzila和其他许多人所做的事情。
但总的来说,我认为用户在任何情况下都应该对安全负责。控制一切都很昂贵。你永远不知道你的代码中有多少安全漏洞,你永远不知道有多少个插件。让社区完成工作,因为它是开源的。