有没有任何机制可以确保上传到packagist.org的包没有恶意代码。是否有人在查看已安装/已上传包中的源代码。
例如:如果有人上传了做主要功能的软件包,并将我的配置文件发送到外部服务器,该怎么办?
当软件包的安装很容易,比如在composer.json中添加一行代码时,我有点担心会发生上述情况。
这是开源软件的福与祸。您通常有完整的源代码可供检查。这意味着,任何人都很难包含恶意代码并使其不被发现,尽管这并不是一个完整的保险。衡量包裹周围的氛围,有多少人在使用它,问题跟踪器中的评论或罚单是什么。
归根结底就是:不要使用你不信任的软件。通过自己评估或相信社区已经这样做来信任它。