确保机密数据免受Nuget包的侵害

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了确保机密数据免受Nuget包的侵害相关的知识,希望对你有一定的参考价值。

我们如何确保通过Nuget Package Manager下载的软件包可以安全地与客户机密数据一起使用?据我所知,任何人都可以为Nuget做出贡献,并且在某些情况下会引入恶意代码并且可以通过Visual Studio下载。

我们正试图找出一种方法来审查Nuget的包,以确保包安全使用。

有没有可靠的公司/消息来源说这些包装是否可以安全使用?

或者是否有人正在使用适合他们的审查程序?我们最不希望看到的是我们使用的每个软件包并研究它们的漏洞,因为这很费时间。

答案

确保机密数据免受Nuget包的侵害

当我们将NuGet包发布到nuget.org时,nuget将检查每个包以确定它是否安全。您可以从the document of nuget.org获得以下信息:

在公布之前,所有上传到nuget.org的软件包都会进行病毒扫描,如果发现任何病毒则会被拒绝。 nuget.org上列出的所有软件包也会定期扫描。

因此nuget.org的软件包可以安全使用。

更新评论:

即使扫描包,也不意味着它们不易受攻击。过时的软件包可能会使用可被利用的易受攻击的进程。

您的不安应该适用于您从任何来源获得的软件,即使从“应用程序商店”(例如Apple iTunes,android Market)下载的软件也可能包含恶意代码。 NuGet团队提出了各种约定和机制,以确保Nuget成为.Net开发人员可信赖的软件库来源,但仍无法保证所有软件包绝对安全。

作为用户,最终责任在于确保您的IT安全性不受损害,并且您采取的预防措施至关重要。

我可以为您提供一些预防措施:

  1. 完全锁定语义版本号。明确指定主要,次要和补丁号码。不要认为新的更新是安全的,或者它们的语义版本是准确的。
  2. 仅使用众所周知的当前版本进行生产。
  3. 在具有有限访问权限的测试环境中试验任何内容。
  4. 检查供应商。

坦率地说,微软开发人员社区与典型的互联网用户社区截然不同,掠夺者潜伏在各个角落。此外,开发人员社区的知识水平要高得多。如果有人故意通过Nuget和Github等可信渠道发布恶意代码,他或她将被发现,曝光甚至被起诉。有意伤害的软件不能通过任何协议直接或间接保护。

希望这可以帮助。

以上是关于确保机密数据免受Nuget包的侵害的主要内容,如果未能解决你的问题,请参考以下文章

如何保护python类变量免受邪恶程序员的侵害?

我们保护我们的班级免受谁的侵害?

什么可以保护无线网络免受同名假冒网络的侵害? [关闭]

如何保护我的论坛免受垃圾邮件的侵害?

如何保护我的网络游戏免受作弊者的侵害?

保护 iframe 免受其他人的侵害并为 iframe 使用一个域?