编辑2:TL; DR:2013年答案是肯定的,但这个缺陷已得到修复
通过遵循vagrantup.com上的入门说明,我似乎最终得到了一个接受端口2222上的SSH连接的虚拟机,这样任何人都可以获得对我的VM的root访问权限并使用默认凭据读取我的主机工作目录(用户名) = password = vagrant或vagrant_insecure_private_key).
这是真的?如果是,为什么它不被视为一个巨大的安全漏洞?如果我将敏感数据复制到VM怎么办?
编辑:对于那些认为互联网上的任何人能够阅读你的资源并在你的虚拟机上执行任意代码并没有那么糟糕的人,我建议你阅读这篇博客文章http://blog.ontoillogical中的"突破"部分. COM /博客/ 2012/10月31日/磨合和-外的流浪汉/
简而言之:"按预期"运行Vagrant也可以让任何人进入您的主机/开发机器(例如,通过使用恶意git post-commit钩子).