Не покидает мысль. Вот, подключил NuGet пакет для записи логов в PostgreSQL. Форк самого популярного. Решил собрать из исходников, на всякий случай. Но! Там еще он за собой тянет некие NuGet-пакеты, которые тоже мало пупулярны. Какова вероятность что в одном из них зловред и строка подключения уходит автору зловреда? Проверять ли все?
А так же может быть вариант, что вы обновите версию и зловред окажется уже в новой версии, причем автор не виноват — его самого взломали.
Какие у вас правила по этому вопросу? Кто сталкивался со зловредом?
1) в исходном коде ключевые слова и названия переменных должны быть только на основе кириллического алфавита
(это есть в законе, там сказано, что государственным языком является русский язык)
2) Код должен быть написан и храниться на территории России
(про хранение информации на территории вроде должно быть в законах,
информация нуждается в материальных носителях, а материальные носители надо охранять),
3) Программисты должны иметь российское гражданство и проживать на территории России
(для того, чтобы они осознавали степень своей ответственности за патриотизм,
и чтобы к ответственности их можно было физически привлечь)
4) Программисты не должны иметь родственников, счетов и собственности за границей
(Аналогичные законы есть про депутатов)
Я не понимаю, почему вы ставите смайлики? Если shmj из/c Украины,
то соответствнно язык должен быть "українська мова" и так далее.
Здравствуйте, Shmj, Вы писали:
S>Какие у вас правила по этому вопросу? Кто сталкивался со зловредом?
конечно нельзя просто так подключать какой-то левый нугет пакет к своей системе. Используемые сторонние библиотеки должны быть от авторитетных компаний типа майкрософта и быть широкоиспользуемы и известны среди разработчиков.
Здравствуйте, Stalker., Вы писали:
S>конечно нельзя просто так подключать какой-то левый нугет пакет к своей системе. Используемые сторонние библиотеки должны быть от авторитетных компаний типа майкрософта и быть широкоиспользуемы и известны среди разработчиков.
Как быть, если есть пакет решающий именно вашу проблему и это надо сделать срочно , а пакет от кого-то пользователя на github. Что тогда?
Здравствуйте, Shmj, Вы писали:
S>...некие NuGet-пакеты... Какова вероятность что в одном из них зловред и строка подключения уходит автору зловреда?
Очень хороший вопрос! И вероятность НЕ НУЛЕВАЯ. Особенно если компания сама себе решила, что теперь она может залезать к тебе в трусы и качать к себе телеметрию. (привет, M$!)
Здравствуйте, Sharov, Вы писали:
S>Как быть, если есть пакет решающий именно вашу проблему и это надо сделать срочно , а пакет от кого-то пользователя на github. Что тогда?
если требуется безопасностъ — то писатъ самому, на гитхабе исходники-то естъ, можно подсмотретъ
Здравствуйте, Stalker., Вы писали:
S>>Как быть, если есть пакет решающий именно вашу проблему и это надо сделать срочно , а пакет от кого-то пользователя на github. Что тогда? S>если требуется безопасностъ — то писатъ самому, на гитхабе исходники-то естъ, можно подсмотретъ
А если время поджимает? Но да, можно как-то скопировать.
Здравствуйте, Shmj, Вы писали:
S> Вот, подключил NuGet пакет для записи логов в PostgreSQL. S> Какова вероятность что в одном из них зловред и строка подключения уходит автору зловреда? Проверять ли все?
Ну сделай для логов отдельную учётку с правами на одну таблицу.