Есть ли риск, что рубиновый камень будет действовать как троян?

Я как раз собирался установить камень Ruby кем-то, о ком я не слышал. Но что-то заставило меня задуматься: «Кто этот парень?». Есть ли риск того, что драгоценный камень Ruby получит доступ к частным данным на вашем компьютере и передаст их в другое место - поскольку система драгоценных камней имеет доступ к Интернету? Или есть защита от этого?

12 голосов | спросил Hola 5 J0000006Europe/Moscow 2009, 01:11:00

6 ответов


0

Конечно, есть. Вы устанавливаете на свой компьютер программное обеспечение, которое запускается с правами сценария /пользователя, который его вызывает. Вероятно, легче обнаружить вредоносный код в чистом Ruby, чем в бинарных пакетах. Но если вы считаете, что проверка исходного кода - это гарантированный способ обнаружения вредоносного кода, ознакомьтесь с контестом C на конкурсе .

Тем не менее, если вы хотите писать вредоносные программы, есть более эффективные системы доставки, чем Ruby Gems. Я не удивлюсь, если количество существующих вредоносных самоцветов будет равно 0, и, следовательно, вероятность того, что это вредоносное ПО, также равна 0 ...

См .: http://rubygems.org/read/chapter/14#page61

ответил Marc Gravell 3 FebruaryEurope/MoscowbWed, 03 Feb 2010 15:05:54 +0300000000pmWed, 03 Feb 2010 15:05:54 +030010 2010, 15:05:54
0

Существует риск вредоносного кода всякий раз, когда вы импортируете неизвестную логику в приложение. Риски столь же глубоки, как и данные, к которым у этого приложения есть доступ. Например, как Java-апплеты помещаются в «песочницу».

Получите подписанные пакеты, которым вы доверяете, или посмотрите на источник.

ответил Aiden Bell 5 J0000006Europe/Moscow 2009, 01:15:24
0

Если бы я хотел выяснить вероятность появления вредоносного самоцвета, я бы посмотрел, были ли обнаружены вредоносные пакеты на каком-либо языке (например, Python egs или CPAN в Perl), насколько вероятно, что вредоносный пакет был изготовлен, никто не заметил, и рискует ли ruby ​​большим, чем другие языки.

Я мог бы посмотреть, смогу ли я создать сеть доверия - даже если я не знаю автора драгоценного камня, знаю ли я кого-то, кто знает?

Я также могу посмотреть, проверяют ли менеджеры пакетов, такие как Debian, пакеты на вредоносность, и если да, проверяли ли они гем, который вы хотите использовать.

ответил Andrew Grimm 5 J0000006Europe/Moscow 2009, 03:33:08
0

Я не согласен с приведенным выше постером, что вероятность существования вредоносных самоцветов равна 0. Всегда существует опасность использования вредоносных самоцветов. Будьте параноиком, но все же добивайтесь успеха.

ответил Ethan Heilman 5 J0000006Europe/Moscow 2009, 02:08:26
0

Я считаю, что есть две группы драгоценных камней.

Сначала «Хорошо известные жемчужины», которые, по совпадению, являются бигестами и с большим (иногда неясным для моих навыков) кодом /логикой. Но эти драгоценные камни рассмотрены многими другими разработчиками.

Тогда есть «Незначительные драгоценные камни» (то есть, которые не так широко используются и распространены). Эти драгоценные камни используют, чтобы иметь низкие версии, бета-состояния и так далее.

Мое практическое правило таково: я доверяю первой группе и читаю весь код из второй группы драгоценных камней.

Это не совсем так, поскольку у меня нет времени на чтение кода каждого драгоценного камня в моей системе, но я стараюсь обращаться к источникам всякий раз, когда мне нужно понять вызов метода или как определенную функцию Реализовано, что мне движет, почти всегда читать как минимум 2-3 исходных файла.

Если я собираюсь установить определенную для определенной функциональности функцию, которую я использую для поиска в github и просмотра реализации, количества вилок и разработчиков, активности (по числу и частоте коммитов) и так далее.

Тем не менее, я использую доверие к драгоценным камням, потому что я никогда не находил ничего преднамеренно вредного, кроме плохих реализаций и некоторых дыр в безопасности.

ответил calas 6 J0000006Europe/Moscow 2009, 04:32:16
0

Были предложения по криптографической подписи драгоценных камней, так что вы, по крайней мере, знаете, что авторский код не был подделан, но это не было воспринято

http://pablotron.org/files/signing_gems.txt

ответил Gene T 20 J000000Monday09 2009, 00:09:09

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132