গিট রেপোতে থাকা একটি বৃহত প্যাকেজটি কীভাবে যাচাই করব?

9

আমি ইমাস হেলমে বিশেষভাবে দেখছি , যার নিম্নলিখিত বৈশিষ্ট্য রয়েছে:

  • এটি হাজার হাজার কমিট আছে
  • এটি একটি ব্যবহারকারী দ্বারা মূলত রক্ষণাবেক্ষণ করা হয়
  • রক্ষণাবেক্ষণকারীটির অন্য কোনও প্রোফাইল নেই (সোশ্যাল মিডিয়া ইত্যাদি) আমি কয়েকটি অনুসন্ধানে সন্ধান করতে পেরেছিলাম
  • এটি সক্রিয়ভাবে বজায় রাখা হয় (আজ)

যেহেতু আমি আমার পাঠ্য সম্পাদকটিতে কম্পিউটারে স্বেচ্ছাসেবক কোডটি ইনস্টল করতে চলেছি, তাই আমি এটি যাচাইয়ের প্রক্রিয়াটি পেরিয়েছি কিনা তা যাচাই করতে চেয়েছিলাম। আমি বলতে চাই "ভাল এটি ওপেন সোর্স" তবে আমি নিজেই সমস্ত কোড নিরীক্ষণের এলিজপ ক্ষমতা থেকে দূরে আছি। আমি ধরে নিতে চাই সম্প্রদায়ের অন্যরা এটি পর্যালোচনা করেছেন তবে একটি সম্ভবত এটি মিথ্যা, এবং দু'একটি মিনিটের কমিট রয়েছে। আমি কী বাদ দিচ্ছি এমন অন্য কৌশল আছে?

রেকর্ডের জন্য ভেক্টরটি সহজ: যদি অবদানকারী কোনও নিকাশী অ্যাকাউন্টের অধীনে কাজ করে বা কোনও পর্যালোচনা প্রক্রিয়া না করে তবে "ওপেন সোর্স" এতটা বিবেচনা করে না।

helm  package  security  github 
djechlin
সূত্র
6
" যাচাই করুন " একটি বড় শব্দ। শব্দের নিয়মিত অর্থে আমার মনে হয় উত্তরটি "আপনি করেন না (আপনি পারবেন না)"। আপনি একটি লাইব্রেরির জন্য বিকাশের ক্রিয়াকলাপ অনুসরণ করতে পারেন এবং আপনি ডিজিটাল স্বাক্ষরগুলি এবং এ জাতীয় যাচাই করতে পারেন তবে নিশ্চিত এবং নিশ্চিত এমন কিছুই নেই, আমি বিশ্বাস করি।
ড্র হয়েছে
3
ভাল প্রশ্ন. এফডব্লিউআইডাব্লু, ইমাসের সাথে আসা কোডটি পর্যালোচনা করা হয়েছে (ইমাস-ডিফফেস মেলিং-তালিকার মাধ্যমে), তবে যদি কোনও অবদানকারী কোনও সুরক্ষা গর্ত যুক্ত করে থাকেন তবে আমি নিশ্চিত যে তিনি এটি লক্ষ্য না করে তা করতে সক্ষম হবেন। অবশ্যই, আমি ইমাকগুলিতে ইতিমধ্যে প্রচুর বড় দুর্ঘটনাজনিত সুরক্ষা গর্ত না থাকলে অবাক হয়ে যাব, সুতরাং আমি নিশ্চিত না যে এটি কতটা সমস্যা হতে পারে। সুতরাং আমি মনে করি আরও পুনরায় আশ্বাসের উত্তর পেতে সক্ষম হওয়ার জন্য, একটি নির্দিষ্ট সাধারণ হুমকির উপর আমাদের দৃষ্টি নিবদ্ধ করা দরকার (উদাহরণস্বরূপ কোডটি কোনও ধরণের গোপনীয় নজরদারি চালিয়েছে কিনা তা পরীক্ষা করা মোটামুটি সহজ হওয়া উচিত)।
স্টিফান
2
রক্ষণাবেক্ষণকারী বহু বছর ধরে ইমাস ডেভেলে
টম
1
@ স্টেফান, আমি কেবল একটি স্পট চেকের কথা ভাবছিলাম। আমার দৃষ্টিকোণ থেকে, mapatomsএকসাথে "বিপজ্জনক" গ্রুপ পুরা যেতে পারে start-process, evalএবং funcall। অবশ্যই কিছু মিথ্যা ইতিবাচকতা থাকবে, তবে প্যাকেজটি যদি এই ফাংশনগুলির কোনওরকম ব্যবহার না করে তবে এটিকে বড় নিশ্চিততার সাথে নিরীহ হিসাবে চিহ্নিত করা যেতে পারে।
অ্যাবো-অ্যাবো 13
1
আপনি যোগ করতে নতুন প্রয়োজন make-process, সেইসাথে call-process, dbus-<foo>, make-network-stream, এবং তারপর vc-do-command, vc-git-command, .... আর আপনি যদি করা evalএবং funcall"ডেঞ্জারাস" বিষয়শ্রেণীতে অন্তর্ভুক্ত, তারপর সবচেয়ে / সমস্ত প্যাকেজ বিপজ্জনক।
স্টিফান

উত্তর:

7

সংক্ষিপ্ত উত্তরটি হ'ল যদি আপনি নিজেরাই কোডটি না পড়ে থাকেন তবে আপনি প্রচুর ভরসায় নিচ্ছেন না। এই বলে যে একটি প্রবাহী এসসিএম থেকে উত্সাহিত কোনও প্রকল্পের উপর নির্ভর করা যেহেতু ইমাস উইকি থেকে সরাসরি টানা হয়েছে তার চেয়ে কিছুটা নিরাপদ । তবে মৌলিকভাবে আপনি প্যাকেজটির লেখককে বিশ্বাস করছেন যে আপনার ইমাস সেশনের অধীনে স্বেচ্ছাসেবীর কোড চালানোর ক্ষমতাকে দুষ্ট করবেন না এবং অপব্যবহার করবেন না।

কিছু জিনিস রয়েছে যা আপনাকে নিরাপদ বোধ করতে পারে:

  • জনপ্রিয় প্যাকেজগুলিতে লেগে থাকুন

জনপ্রিয় প্যাকেজগুলি যখন আরও বেশি ব্যবহারকারী রয়েছে তখন এটি স্বয়ংক্রিয়ভাবে আরও পর্যালোচনা না পেয়ে বোঝায় যে এটির প্রভাব বাড়ার আগেই দূষিত আচরণের সম্ভাবনা শনাক্ত হওয়ার সম্ভাবনা রয়েছে।

  • কোড মেট্রিক্স দেখুন

গিথুব এ আপনি প্রকল্পগুলির অবদানের ইতিহাসের মোটামুটি ভাল দৃশ্য পেতে পারেন । এমনকি যদি নীতি লেখক বেশিরভাগ লেখককে বিস্তৃত লেখক করে তোলে দেখায় যে কোডটির স্থায়িত্ব এবং কার্যকারিতা সম্পর্কে সক্রিয় আগ্রহী এমন আরও কিছু লোক রয়েছে।

  • জিএনইউ ইএলপিএ এবং মেল্পা স্থিতি সংরক্ষণাগারগুলিতে হেড (মেলপা) ট্র্যাকিং বা নিরীক্ষণবিহীন সাবমিশনগুলিকে (মারমেলড) অনুমতি দেওয়ার জন্য স্থিতিশীল

রক্তপাতের প্রান্তে বেঁচে থাকার সময় যারা তাদের সর্বশেষ চকচকে বৈশিষ্ট্য চান তাদের কাছে একটি নির্দিষ্ট আবেদন রয়েছে যার অর্থ আপনার পরিবেশে সর্বশেষতম প্রতিশ্রুতি গ্রহণ করা আপনি প্রথম ব্যক্তি হতে পারেন। দূষিত না হলেও আপনি খুব ভালভাবে প্রবাহিত অবস্থায় প্যাকেজ পেতে পারেন যখন একটি "অফিসিয়াল" রিলিজের মধ্যে অন্তত কিছুটা কার্সারি পর্যালোচনা ছিল। উদাহরণস্বরূপ, জিএনইউ ইএলপিএ প্যাকেজগুলি কেবল দায়বদ্ধ অধিকার সহ ইমেক্স-ডেভেল ব্যবহারকারীদের দ্বারা প্রতিশ্রুতিবদ্ধ হবে।

পরিশেষে আমি নিশ্চিত যে এক পর্যায়ে প্যাকেজ সিস্টেমের মাধ্যমে সুরক্ষা লঙ্ঘন হবে এমনকি এটি ধারণার পরীক্ষার প্রমাণ মাত্র। এটি আপনার নিয়মিত ব্যাকআপের উপর নির্ভর করতে পারে পয়েন্ট।

stsquad
সূত্র
1
"বিশ্বাস" এলে মার্বেল হ'ল একটি সংরক্ষণাগার। এটি যে কাউকে শূন্য যাচাই বা পর্যালোচনা সহ যে কোনও নামে যে কোনও প্যাকেজ আপলোড করতে দেয়। এবং এটি ঠিকঠাকভাবে রক্ষণাবেক্ষণ করা হয়নি (খোলার সমস্যাগুলির সংখ্যাটি দেখুন)।
লুনারিওর
@ লুনারিয়রন: ভাল কথা, আমি উত্তরটি সংশোধন করব।
stsquad
@ লুনারিওর্ন মেল্পার এলমারমালেড সংগ্রহস্থলের তুলনায় আরও বেশি উন্মুক্ত সমস্যা রয়েছে, তাই আমি সন্দেহ করি এটি একটি ব্যবহারযোগ্য মেট্রিক।
wasamasa
@ অ্যাসেসকোয়াড মেলপা স্থিতিশীল আপনাকে কেবলমাত্র এমন জিনিসগুলির মুক্তির ট্যাগ দেওয়া হয়েছে যা মেলপাতে যেভাবেই শেষ হয়ে যেত, সুতরাং মারমালেড ব্যবহারের চেয়ে কীভাবে নিরাপদ তা আমি দেখতে পাচ্ছি না।
ওয়াশমাস
1
@ ওসামাসা দুঃখিত, আমার মন্তব্যটি খারাপভাবে লেখা হয়নি। সংখ্যা অনেক বলতে না, নিশ্চিত, কিন্তু খোলা সমস্যা হয় কহন: নতুন বিষয়, কোন মন্তব্য না, এমনকি লেবেল বা বরাদ্দকরণ উপর শূন্য প্রতিক্রিয়া নেই। মার্বেল কার্যকরভাবে মারা গেছে।
চন্দ্রালাই
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.