Saya sedang melihat helm emacs khusus, yang memiliki sifat-sifat berikut:
- memiliki ribuan komitmen
- sebagian besar dikelola oleh satu pengguna
- pengelola tidak memiliki profil lain (media sosial, dll.) yang dapat saya temukan pada beberapa pencarian
- itu dipelihara secara aktif (hari ini)
Karena saya akan menginstal kode arbitrer di komputer saya untuk digunakan dalam editor teks saya, saya ingin memverifikasi apakah ini telah mengalami proses peninjauan. Saya ingin mengatakan "baik itu open source" tapi saya benar-benar jauh dari kemampuan elisp untuk mengaudit semua kode sendiri. Saya ingin berasumsi orang lain di komunitas telah memeriksanya tetapi yang mungkin salah, dan dua ada komitmen terbaru. Apakah ada strategi lain yang saya lewatkan?
Sebagai catatan, vektornya sederhana: "open source" tidak terlalu penting jika kontributor bekerja di bawah akun sekali pakai, atau jika tidak ada proses peninjauan.
mapatoms
bisa dimasukkan ke dalam kelompok "berbahaya" bersamastart-process
,eval
danfuncall
. Tentu saja akan ada beberapa kesalahan positif, tetapi jika paket tidak menggunakan salah satu dari fungsi-fungsi itu, itu dapat ditandai sebagai tidak berbahaya dengan kepastian besar.make-process
, sertacall-process
,dbus-<foo>
,make-network-stream
, dan kemudianvc-do-command
,vc-git-command
, .... Dan jika Anda menempatkaneval
danfuncall
dalam kategori "berbahaya", maka sebagian besar / semua paket berbahaya.Jawaban:
Jawaban singkatnya adalah kecuali Anda membaca sendiri kode yang Anda percayai. Setelah mengatakan bahwa mempercayai proyek yang bersumber dari SCM hulu sedikit lebih aman daripada yang telah ditarik langsung dari Emacs Wiki misalnya. Namun pada dasarnya Anda mempercayai pembuat paket untuk tidak mengubah kejahatan dan menyalahgunakan kemampuan untuk menjalankan kode arbitrer di bawah sesi Emacs Anda.
Ada beberapa hal yang mungkin membuat Anda merasa lebih aman:
Sementara paket populer tidak secara otomatis mendapatkan lebih banyak ulasan, fakta bahwa mereka memiliki lebih banyak pengguna berarti kemungkinan perilaku jahat terdeteksi sebelum itu mempengaruhi Anda meningkat.
Di github Anda bisa mendapatkan pandangan yang cukup bagus tentang riwayat kontribusi proyek. Bahkan jika penulis utama membuat sebagian besar komitmen memiliki banyak penulis menunjukkan ada orang lain yang memiliki minat aktif dalam stabilitas dan efektivitas kode.
Meskipun tinggal di tepi pendarahan memiliki daya tarik tertentu bagi mereka yang menginginkan fitur mengkilap terbaru itu berarti Anda mungkin menjadi yang pertama menerima komit terbaru ke lingkungan Anda. Bahkan jika tidak berbahaya Anda mungkin mendapatkan paket dalam keadaan fluks sementara rilis "resmi" paling tidak akan memiliki semacam tinjauan sepintas. Sebagai contoh, paket-paket GNU ELPA hanya akan dikomit oleh para pengguna emacs-devel dengan hak yang dikomit.
Pada akhirnya saya yakin pada suatu saat akan ada pelanggaran keamanan melalui sistem paket bahkan jika itu hanya bukti eksperimen konsep. Itu akan menjadi titik Anda mungkin harus bergantung pada cadangan reguler Anda.
sumber