Hol*_*ola 12 ruby security rubygems ruby-on-rails
我正要安装一个我从未听说过的Ruby宝石.但有些东西让我想到"这个人是谁?".Ruby gem是否存在访问您计算机上的私有数据并将其传输到其他地方的风险 - 因为gem系统可以访问Internet?或者有保护措施吗?
Ste*_*sop 16
当然有.您正在计算机上安装软件,该软件以调用它的脚本/用户的权限运行.在纯Ruby中发现恶意代码可能比在二进制包中更容易.但是,如果您认为源检查是发现恶意代码的有保证的方法,请查看负面的C竞赛.
也就是说,如果你想编写恶意软件,那么有效的交付系统比Ruby宝石更有效.如果存在的实际恶意宝石的数量为0,那么我不会感到惊讶,因此这个恶意宝石的概率同样为0 ......
见:http://rubygems.org/read/chapter/14#page61