Есть ли риск, что рубиновый камень будет действовать как троян?

Question

Я как раз собирался установить самоцвет Ruby кем-то, о ком я не слышал. Но что-то заставило меня задуматься: «Кто этот парень?». Существует ли риск того, что драгоценный камень Ruby получит доступ к частным данным на вашем компьютере и передаст их в другое место - поскольку система драгоценных камней имеет доступ в Интернет? Или есть защита от этого?

Answer 1

Конечно, есть. Вы устанавливаете на свой компьютер программное обеспечение, которое запускается с правами вызывающего его сценария / пользователя. Вероятно, легче обнаружить вредоносный код в чистом Ruby, чем в бинарных пакетах. Но если вы считаете, что проверка исходного кода - это гарантированный способ обнаружения вредоносного кода, проверьте конкурс под рукой C .

Тем не менее, если вы хотите писать вредоносные программы, есть более эффективные системы доставки, чем Ruby Gems. Я не удивлюсь, если количество существующих вредоносных самоцветов будет равно 0, и, следовательно, вероятность того, что этот вредоносный камень также равен 0 ...

См .: http://rubygems.org/read/chapter/14#page61

Answer 2

Существует риск вредоносного кода всякий раз, когда вы импортируете неизвестную логику в приложение. Риски столь же глубоки, как и данные, к которым у этого приложения есть доступ. Например, как Java-апплеты помещаются в «песочницу».

Получите подписанные пакеты, которым вы доверяете, или посмотрите на источник.

Answer 3

Если бы я хотел выяснить вероятность появления вредоносного самоцвета, я бы посмотрел, были ли обнаружены вредоносные пакеты на каком-либо языке (например, Python egs или CPAN в Perl), насколько вероятно, что вредонос Пакет был произведен, никто не заметил, и рискует ли ruby ​​большим, чем другие языки.

Могу ли я создать сеть доверия - даже если я не знаю автора драгоценного камня, знаю ли я кого-то, кто знает?

Я также могу посмотреть, проверяют ли менеджеры пакетов, такие как Debian, пакеты на вредоносность, и если да, проверяли ли они гем, который вы хотите использовать.

Answer 4

Я считаю, что есть две группы драгоценных камней.

Сначала «Хорошо известные жемчужины», которые, по совпадению, являются бигестами и с большим (иногда неясным для моих навыков) кодом / логикой. Но эти драгоценные камни рассматриваются многими другими разработчиками.

Тогда есть «Незначительные драгоценные камни» (то есть, которые не так широко используются и распространены). Эти драгоценные камни используют, чтобы иметь низкие версии, бета-состояния и так далее.

Мое простое правило: я доверяю первой группе и читаю весь код из второй группы драгоценных камней.

Это не совсем верно, так как у меня нет времени, чтобы прочитать код каждого драгоценного камня в моей системе, но я стараюсь обращаться к источникам всякий раз, когда мне нужно понять вызов метода, или как определенная функция Реализовано, что мне движет, почти всегда читать как минимум 2-3 исходных файла.

Если я собираюсь установить определенную для определенной функции функцию, которую я использую для поиска в github и просмотра реализации, количества форков и разработчиков, активности (по количеству и частоте коммитов) и так далее.

Тем не менее, я использую доверие к драгоценным камням, потому что я никогда не нашел ничего преднамеренно вредного, кроме плохих реализаций и некоторых дыр в безопасности.

Answer 5

Я не согласен с приведенным выше постером, что вероятность существования вредоносных самоцветов равна 0. Всегда существует опасность использования вредоносных самоцветов. Будьте параноиком, но все же добивайтесь успеха.

Answer 6

Были предложения по криптографической подписи драгоценных камней, так что вы, по крайней мере, знаете, что авторский код не был подделан, но это не было воспринято как 1001

http://pablotron.org/files/signing_gems.txt