我正要安装一个我没听说过的人的 Ruby gem。但有些事情让我想到“这个人是谁?”。由于 gem 系统可以访问互联网,因此 Ruby gem 是否存在访问您计算机上的私有数据并将其传输到其他地方的风险?或者有针对这种情况的保护措施吗?
当然有。您正在计算机上安装软件,该软件以调用它的脚本/用户的权限运行。在纯 Ruby 中发现恶意代码可能比在二进制包中更容易。但如果您认为源代码检查是发现恶意代码的有保证的方法,请查看卑鄙的C大赛 http://underhanded.xcott.com/.
也就是说,如果您想编写恶意软件,有比 Ruby gems 更有效的交付系统。如果存在的实际恶意宝石数量为 0,我不会感到惊讶,因此该宝石是恶意宝石的概率同样为 0...
See: http://rubygems.org/read/chapter/14#page61 http://rubygems.org/read/chapter/14#page61
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)