Я как раз собирался установить камень Ruby тем, о ком я не слышал. Но что-то заставило меня подумать: "Кто этот парень?". Есть ли риск того, что камень Ruby получит доступ к личным данным на вашем компьютере и передаст его в другом месте, поскольку система драгоценных камней имеет доступ в Интернет? Или существуют меры защиты от этого?
Есть ли риск создания жемчужины Ruby как трояна?
Ответ 1
Конечно, есть. Вы устанавливаете программное обеспечение на своем компьютере, которое работает с привилегиями script/пользователя, который его вызывает. Вероятно, легче обнаружить вредоносный код в чистом Ruby, чем в бинарных пакетах. Но если вы считаете, что проверка источника - это гарантированный способ обнаружения вредоносного кода, ознакомьтесь с личным C-соревнованием.
Тем не менее, если вы хотите писать вредоносное ПО, есть более эффективные системы доставки, чем драгоценные камни Ruby. Я не удивлюсь, если количество фактических вредоносных драгоценных камней в действительности равно 0, и, следовательно, вероятность того, что этот вредна, также равна 0...
Ответ 2
Существует риск вредоносного кода , когда вы импортируете неизвестную логику в приложение. Риски только настолько глубоки, насколько данные, к которым это приложение имеет доступ. Как и Java-апплеты изолированы.
Получите подписанные пакеты, которым вы доверяете, или посмотрите на источник.
Ответ 3
Если бы я хотел получить информацию о вероятности появления вредоносного жемчуга, я бы посмотрел, были ли обнаружены вредоносные пакеты на любом языке (например, на примерах python или Perl CPAN), насколько вероятно, что это вредоносная пакет был подготовлен без каких-либо замечаний и был ли рубин подвержен большему риску, чем другие языки.
Я мог бы увидеть, могу ли я создать сеть доверия - даже если я не знаю автора драгоценного камня, знаю ли я кого-то, кто это делает?
Я также могу посмотреть, будут ли диспетчеры пакетов, такие как Debian, проверять, являются ли пакеты вредоносными, и если да, изучили ли они драгоценный камень, который вы хотите использовать.
Ответ 4
Я не согласен с вышеупомянутым плакатом, что вероятность появления злонамеренных драгоценных камней равна 0. Всегда существует опасность использования вредоносных драгоценных камней. Будьте параноидальными, но все еще делайте это.
Ответ 5
Я считаю, что есть две группы драгоценных камней.
Сначала "Хорошо известные драгоценные камни", которые, по совпадению, являются хитами и с большим количеством (иногда неясными для моих навыков) кода/логики. Но эти драгоценные камни рассматриваются многими другими разработчиками.
Тогда есть "Малые драгоценные камни" (это означает, что они не используются и не распространяются). Эти драгоценные камни используют низкие версии, бета-состояния и так далее.
Мое правило большого пальца: я доверяю первой группе и читаю весь код, который я могу, из второй группы драгоценных камней.
Это не совсем так, потому что у меня нет времени, чтобы прочитать код каждого драгоценного камня в моей системе, но я пытаюсь перейти к источникам, когда мне нужно понять вызов метода или как определенная функция реализовано, что меня заводит, почти всегда, чтобы читать как минимум 2-3 исходных файла.
Если я собираюсь установить определенную для определенной функции, я использую для поиска github и просмотра реализации, числа вилок и разработчиков, активности (по количеству и частоте коммитов) и т.д.
Тем не менее, я использую, чтобы доверять драгоценным камням, потому что я никогда не нашел ничего преднамеренно вредного, но плохих реализаций и некоторых дыр в безопасности.
Ответ 6
Были предложения по криптографическому подписи драгоценных камней, поэтому вы бы знали, по крайней мере, что код автора не был подделан, но не было понимания этого