如果我使用 brew
或 brew cask
(在 macOS 上)或 npm
或 pip
或 composer
或类似的包/代码/库管理器,我一直想知道:
他们从哪里获取内容,谁或哪个实体在管理、促进或托管所有这些软件、软件包、模块或库?
是否有任何检查、安全过滤器、审计、验证或其他机制来防止通过这些包管理器分发的包或库中出现恶意软件?
最佳答案
Composer
包列表存储在 https://packagist.org/ ,但只有元数据。包直接从相关存储库(通常是 GitHub 或 GitLab)下载,Packagist 不存储或分析其内容。因此,虽然它看起来有点可怕,但安全模型是基于对供应商的信任或直接代码审查。没有神奇的解决方案可以假装它可以保护您免受恶意软件的侵害 - 您需要考虑您在做什么以及您在项目中包含哪些依赖项(或者至少自己使用一些恶意软件扫描程序)。
关于npm - brew、cask、pip、npm、composer 等从哪里获取它们的东西,什么可以防止恶意软件?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51792067/