Val*_*roM 5 c# security nuget nuget-package
我检查了Nuget提交过程,但未发现有关基本检查或审阅过程的任何信息。
那么,如果有人提交了一个电子邮件模板帮助程序包,但实际上确实进行了电子邮件嗅探,那该怎么办?
如果我错过了这里,请纠正我。
没有中央审查流程 - 你是对的。当您从任何来源获取已编译的二进制文件时,您应该采取类似的谨慎态度。有人可能会在任何公共网站(sourceforge、cnet 等)上放置恶意代码。
安全性是为了最小化风险,而不是消除风险。如果您的数据/信息至关重要,您应该亲自审查软件(或让有知识的人来审查)。您不仅可以下载恶意代码,还可以向您的软件引入软件包编写者无意的漏洞。这里的负担由最终用户承担。此外,仅仅因为软件经过“审查”并不意味着它就安全。这是一篇关于恶意软件的文章,该恶意软件已提交到 AppStore 并获得批准。这不是一个孤立的事件。
如果这是针对您具有非机密数据的个人/小型项目,如果您坚持使用相对广泛使用且有很多评论的软件包,我不会太担心。社区可以帮助警方处理此类事情,因为每个扩展上都有一个“向 Microsoft 报告扩展”链接。