你们在搞开源的时候,会关注引用的组件/项目是不是安全的问题吗

osc_25132255 发布于 05/09 17:28
阅读 866
收藏 0

开源之夏第三届火热来袭,高校学生参与赢万元奖金!>>>

你们在搞开源的时候,会关注引用的组件/项目是不是安全的问题吗

加载中
-1
kakai
kakai

这个不好说,安全是怎么定义的?比如前段时间log4j的安全漏洞,这么多大厂都在用,但几乎没一个审查出来。

kakai
kakai
回复 @osc_25132255 : 不是不重视,而是严格的安全需要专业的安全团队审查校验和验证,很少有公司有那么专业的团队,一般对开源软件做到后门安全审查就不错了,很多bug基本也是使用方发现并提交的。
osc_25132255
osc_25132255
所以这个是因为大家对这个不重视吗
1
魔力猫
魔力猫

只能说尽量吧。有些项目看着没事,结果突然出现某些事件的时候,就开始搞事。比如乌克兰开片,有个开源就居然往里面加入黑客代码,来所谓援助。这种事先是真的难以预测的。

0
国产大熊猫
国产大熊猫
在用墨菲安全的插件,免费全中文
osc_25132255
osc_25132255
这么牛逼的吗
0
letwang
letwang

是的,比如:https://github.com/letwang/HookPHP

里面对第三方组件的筛选极其严格,一般都是选用C扩展来解决,实在不行才启用第三方的Composer包。

0
Gfast开源-qixun
Gfast开源-qixun

会注意,但有些安全性的确实不太好处理!

0
LinWinCloud
LinWinCloud

这个不大可能确定吧,不过我壁板开源的时候都是自己写的代码和函数,一般不用别人的组件。但是呢,我开发的一般是安全工具,主要适用于发现他人的技术楼栋号,几乎对自己的安全要求不高

0
杰克伦敦尘
杰克伦敦尘

大项目要注意安全吧。小项目别人也不会来黑你的,没有足够的动力来黑你。

0
ducat7
ducat7

对于安全,更关注成本,这都是拿钱扛起来的

0
AK_诚
AK_诚
那得看你用在什么项目,对于安全性很严格的项目,用专业的扫描工具,如果需要人为排查,那还不如不用,毕竟开源头部项目都会有安全漏洞,人家代码也是经过专业审核的都会有漏洞,你说有几个项目经得住这么去折腾,没有谁能说自己的项目代码完全没有漏洞,不用带项目就不存在漏洞
OSCHINA
登录后可查看更多优质内容
返回顶部
顶部
返回顶部
顶部