[编辑:2013年6月]一篇论文已经出现在ArXiv上,更详细地描述了这个问题,并提出了一些解决方案: http: //arxiv.org/abs/1303.4808.它将于2013年晚些时候出现在Journal of Statistical Software中.
我在我的Ubuntu服务器上有一个cronjob,可以从CRAN下载并安装每个源包.但是在同一台服务器上我开始注意到一些不规则的活动.它可能完全不相关,但它让我想到是否有可能某些CRAN包含有恶意代码.
创建和发布曲文包的过程非常简单.也许有点太容易了.您将包上传到FTP,Kurt将进行检查并发布.随着每天上传的R包的数量,可以合理地假设没有对包进行广泛的审计.此外,没有使用私钥签署包,就像大多数发行包一样.甚至描述中的电子邮件地址也很少得到验证.
现在,在编译时或运行时包含一些安装rootkit的代码并不是很难.编译时间可能更容易受到攻击,因为我使用sudo安装我的软件包,我可能应该停止这样做.但是在运行时也可以做很多事情.Linux内核最近有几个安全漏洞,我已经证实自己在一个完全最新的系统上通过权限升级漏洞获取root非常容易.由于R通常具有互联网访问权限,恶意代码甚至不必包含在包中,只需使用wget或download.file()从某处下载即可.
那就是说R用户是否考虑过这个?或者,您的理念主要是您应该只从您信任的人那里下载包裹?仍然没有签署不太可靠的包裹.什么是更安全的方法来安装曲线包?我已经考虑过类似于单独的机器来构建包然后复制二进制文件,并且总是在沙箱中运行R. 虽然这有点麻烦.