Rei*_*eid 7 security download malware open-source
我即将下载一些 OSS 软件,我想确保(以合理的确定性)它没有被篡改以插入恶意软件。具体来说,它是一个密码管理器(KeePassX),它似乎是一个非常多汁的黑客目标,所以我感觉特别偏执。
我能想到的恶意软件插入的两个向量是:
该下载页面确实提供校验; 然而,这似乎并不能防止上述两种黑客攻击。
我没有专业知识或时间进行源代码审计。
检查恶意软件敏感性质的开源软件的最佳做法是什么?
如果您害怕来源(这就是您的问题所暗示的),您就不可能信任该软件。
解决办法是停止对源头的恐惧。
为此,您可以关注这样一个事实:在数千个甚至数百万个 OSS 软件项目中,已被感染的项目数量以及已批准并合并到主代码库中的受感染代码的数量为零。
您还可以关注问题的逻辑:由于每段代码都有大量的眼睛,而恶意软件制造商收买足够数量的眼睛来强制执行恶意代码的可能性极低值得一提的是,糟糕的代码被制作成这样的工具的可能性也为零。
出于这些原因,我尝试坚持为关键软件使用信誉良好、推荐良好、支持良好且积极开发的 OSS 工具。在所有这些情况下,我们都在玩赔率游戏。虽然默认几率极低,但活动软件项目被感染的几率甚至低于默认几率。