聚合全网技术文章,根据你的阅读喜好进行个性推荐
开源之夏第三届火热来袭,高校学生参与赢万元奖金!>>>
你们在搞开源的时候,会关注引用的组件/项目是不是安全的问题吗
这个不好说,安全是怎么定义的?比如前段时间log4j的安全漏洞,这么多大厂都在用,但几乎没一个审查出来。
只能说尽量吧。有些项目看着没事,结果突然出现某些事件的时候,就开始搞事。比如乌克兰开片,有个开源就居然往里面加入黑客代码,来所谓援助。这种事先是真的难以预测的。
是的,比如:https://github.com/letwang/HookPHP
里面对第三方组件的筛选极其严格,一般都是选用C扩展来解决,实在不行才启用第三方的Composer包。
会注意,但有些安全性的确实不太好处理!
这个不大可能确定吧,不过我壁板开源的时候都是自己写的代码和函数,一般不用别人的组件。但是呢,我开发的一般是安全工具,主要适用于发现他人的技术楼栋号,几乎对自己的安全要求不高
大项目要注意安全吧。小项目别人也不会来黑你的,没有足够的动力来黑你。
对于安全,更关注成本,这都是拿钱扛起来的
这个不好说,安全是怎么定义的?比如前段时间log4j的安全漏洞,这么多大厂都在用,但几乎没一个审查出来。
只能说尽量吧。有些项目看着没事,结果突然出现某些事件的时候,就开始搞事。比如乌克兰开片,有个开源就居然往里面加入黑客代码,来所谓援助。这种事先是真的难以预测的。
是的,比如:https://github.com/letwang/HookPHP
里面对第三方组件的筛选极其严格,一般都是选用C扩展来解决,实在不行才启用第三方的Composer包。
会注意,但有些安全性的确实不太好处理!
这个不大可能确定吧,不过我壁板开源的时候都是自己写的代码和函数,一般不用别人的组件。但是呢,我开发的一般是安全工具,主要适用于发现他人的技术楼栋号,几乎对自己的安全要求不高
大项目要注意安全吧。小项目别人也不会来黑你的,没有足够的动力来黑你。
对于安全,更关注成本,这都是拿钱扛起来的