gpt4 book ai didi

security - 如何检查下载的开源文件的完整性?

转载 作者:行者123 更新时间:2023-12-04 06:06:43 26 4
gpt4 key购买 nike

我想开始检查我在我的应用程序中使用的开源项目是否是开发人员发布的。我注意到许多项目都有 SHA1 和 MD5 摘要,大概这些摘要很容易被篡改,例如,如果黑客替换了镜像上的原始 zip 文件,他们也可以替换 .md5 和 .sha1。

如何检查我依赖的第三方开源库的完整性?

最佳答案

通常是一个开源项目,虽然所有人都可以下载和修改自己,但实际更改上传文件的能力仅限于由项目所有者管理的某些个人。

一个很好的例子是 https://github.com/thecodemine/formwizard ,您可以在其中看到只读链接,但未经授权不能直接修改。

但是你可以将项目 fork 到你自己的帐户并根据需要进行修改,例如 https://github.com/AlexKey/formwizard

我也在猜测像 linux 发行版这样的大型开源项目,即使是授权个人上传的代码/文件在正式发布之前也会经过严格的审查。

组成系统的黑客当然可以随意更改文件,但这不是开源模型的弱点,而是任何项目的问题。

诸如代码签名之类的东西也有助于检测未经授权的修改。

http://en.wikipedia.org/wiki/Code_signing

Code signing is the process of digitally signing executables and scripts to confirm the software author and guarantee that the code has not been altered or corrupted since it was signed by use of a cryptographic hash.

关于security - 如何检查下载的开源文件的完整性?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8264854/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com