我们如何确保通过Nuget Package Manager下载的软件包可以安全地与客户机密数据一起使用?据我所知,任何人都可以为Nuget做出贡献,并且在某些情况下会引入恶意代码并且可以通过Visual Studio下载。
我们正试图找出一种方法来审查Nuget的包,以确保包安全使用。
有没有可靠的公司/消息来源说这些包装是否可以安全使用?
或者是否有人正在使用适合他们的审查程序?我们最不希望看到的是我们使用的每个软件包并研究它们的漏洞,因为这很费时间。
确保机密数据免受Nuget包的侵害
当我们将NuGet包发布到nuget.org时,nuget将检查每个包以确定它是否安全。您可以从the document of nuget.org获得以下信息:
在公布之前,所有上传到nuget.org的软件包都会进行病毒扫描,如果发现任何病毒则会被拒绝。 nuget.org上列出的所有软件包也会定期扫描。
因此nuget.org的软件包可以安全使用。
更新评论:
即使扫描包,也不意味着它们不易受攻击。过时的软件包可能会使用可被利用的易受攻击的进程。
您的不安应该适用于您从任何来源获得的软件,即使从“应用程序商店”(例如Apple iTunes,Android Market)下载的软件也可能包含恶意代码。 NuGet团队提出了各种约定和机制,以确保Nuget成为.Net开发人员可信赖的软件库来源,但仍无法保证所有软件包绝对安全。
作为用户,最终责任在于确保您的IT安全性不受损害,并且您采取的预防措施至关重要。
我可以为您提供一些预防措施:
坦率地说,微软开发人员社区与典型的互联网用户社区截然不同,掠夺者潜伏在各个角落。此外,开发人员社区的知识水平要高得多。如果有人故意通过Nuget和Github等可信渠道发布恶意代码,他或她将被发现,曝光甚至被起诉。有意伤害的软件不能通过任何协议直接或间接保护。
希望这可以帮助。