Python 、C#、Node.js 有像苹果 App Store 一样每个包都经过人工审查的，可以放心随便安装包的安全仓库吗？

50 条回复 • 2024-12-27 14:30:42 +08:00

1

chenqh

1 天前

3

app store 要收钱的, python, C#,nodejs 能收钱吗

2

promiser3d

1 天前

AppStore 也不是包都有人工审查吧。

3

Nasei

1 天前

4

这个问题有点离谱了

4

iorilu

1 天前

苹果是收每个开发者 99 刀阿, 很大一笔钱了

其他都免费的, 怎么比

5

drymonfidelia

OP

1 天前

@Nasei 光一个 npm 都已经出现多少次投毒事件了，我记得名字的就有 node-ipc 、faker 、color 、ts-patch-mongoose 你能确保你永远不会下载到把你文件删光的恶意包？

@chenqh 可以向愿意花钱买安全的人收费呀
@iorilu

6

drymonfidelia

OP

1 天前

@drymonfidelia #5 这些都是有名气的被投毒的包，肯定还有非常多恶意包至今没被发现

7

maix27

23 小时 58 分钟前

从一开始，你就得搞清楚，开源就得自己小心避开这些坑，自己担责，毕竟免费白嫖别人的劳动成果。用的好你开心...也就你开心了，contributor 又不开心，拿空闲时间维护项目，还没钱。

现在你说要审核，好。钱从哪里来？向苹果一样收开发者上架费么？还是搞个组织对整个 GitHub 上的每个 project 每条 commit 审核？

前者开发者不开心，社区规模还能有这么大？，原因见 p1 。
后者的钱从哪来？免费？免费为什么要多加一层审核？免费你能信任他们？收费？以前就有类似的概念，曾经跟“开源”打生打死后来开源干成了，就是商业闭源，这种你能接受嘛？近 20 年在开源社区活跃的几千万开发者都不接受哦。

我相信你要能接受不会问这个问题，源头还是想白嫖+有人担责。那哪有傻瓜给你担责？

8

Nasei

23 小时 52 分钟前

@drymonfidelia 这些包你可以说没有审查，也可以说被所有人审查，你可以自己看的，苹果那个 app 审查跟审查代码库不论难度还是成本，都完全没有可比性

9

maix27

23 小时 50 分钟前

@drymonfidelia #5

第一，现在不是没有商业闭源的库，你自己找需要的用呗，不少。
第二，近 20 年过去了，想付费搞开源库整合的一个都没活下来，为啥？工作量太大了，人力太高了。

10

drymonfidelia

OP

23 小时 50 分钟前

@maix27 问题是除非一个一个 commit 审核，否则根本没有办法能避开这些坑呀。我 5 楼举的例子里面除了 ts-patch-mongoose 这个包一开始就在作恶，另外 3 个都是已经流行后在一个版本更新里面加入恶意代码的。哪怕用 AST 也很难准确判断一个包是否有恶意行为

11

maix27

23 小时 48 分钟前

@drymonfidelia #10 你也说了 “一个一个 commit 审核”，你猜哪个国家的程序员有这样的规模？哪个国家有这样的优势能这样审查？ 20 年来没人做，是大家不想做么？

12

forisra

23 小时 47 分钟前

@maix27 有没有什么办法对开源社区的这些产出定价呢？

13

chenqh

23 小时 46 分钟前

@forisra 定什么价呢?android 就是对 linux 的终极白嫖..还定价.

14

fredcc

23 小时 45 分钟前 via Android

学 gitee 啊

15

maix27

23 小时 41 分钟前

@forisra
所有产出都是免费的，你贡献给我，我也贡献给你，只有这样才能保证开源的纯洁性，保证开源的繁荣。甚至，保证开源的无国界性，开源社区是没有 leader 的发现没？它没有一个实际上的领导者的地位，为啥？就是因为没有利益。就是因为这些，才从大公司里杀出血路。

量化这些产出就是让开源社区变狼，而且是最大最凶恶的野狼。这头狼有了野心，有了头脑，甚至有了有国界有软肋的头脑，你猜它先咬谁？咬大公司？还是咬小小的散户工程师？再其次代表西方国家的利益咬你 x 国，你受的了？

16

drymonfidelia

OP

23 小时 40 分钟前

@maix27 #11 对所有的包都审查是不现实，但是对公开仓库的 top 2000 甚至 top 5000 的包审查，审查通过后上架到安全仓库，应该会有大公司愿意买单吧？

17

chenqh

23 小时 36 分钟前

@drymonfidelia 你能说出大公司对开源的贡献,而大公司又没有从中赚钱的,你能说出多少个呢?

18

maix27

23 小时 36 分钟前

@drymonfidelia #16

没有，为啥？开源不是请客吃饭，请客吃饭就吃一顿。开源呢？今天你买单，明年还你买单，后年还你买单，哪家大公司负担的起。

现在就是叫大公司给某开源项目每年捐个 3k 刀都换另一个白嫖了，就这你指望哪个大公司花钱审核？

19

chenqh

23 小时 34 分钟前

@maix27 开源的目的就是白嫖,公开云白嫖的飞起...

20

shiny

23 小时 34 分钟前

https://socket.dev 可以审查安全性，但不是人工的

21

bigtear

23 小时 33 分钟前

所以 Node 创始人另辟蹊径，搞出了 Deno ，手动授权

22

bigtear

23 小时 31 分钟前

安全性是有代价的，
要么像你说的花钱找人审核；
要么从运行时下手，Rust 内存安全，但是开发者的心智负担大。
Deno 权限安全，但是不完全兼容 npm 生态，但是你看有多少迁移过去的，Deno 迫不得已现在也选择兼容生态了。

23

maix27

23 小时 31 分钟前

@drymonfidelia #16 今年油价多收一笔税，食品支出也开始征税你都受不了，指望某几个大公司负担全世界程序员要用的东西就是空谈。

我说了，你得先是切格瓦拉这样的国际主义者，才能叭叭大公司怎么怎么样，推己及人。

24

maix27

23 小时 27 分钟前

@drymonfidelia #16

我说了，你就是想找这样一个傻瓜给你担责，问题是没人愿意做这个傻瓜，你可以自己想想，你自己愿不愿意做这个傻瓜，看看 20 年的历史，没有愿意做傻瓜。

25

jim9606

23 小时 20 分钟前

1. 对开源世界来说，广泛使用、被大团队使用就是比较好的方法，因为相对来说测试和 review 更多，更容易蹭到好处而不是蒙在鼓里
2. 你也不要觉得 AppStore 的审查是绝对安全的，苹果跟 ios 用户有一些共同利益但不完全一致，例如你果就从来没管过摇一摇广告，以安全为名不允许 APP 用 JIT ，强制用 WebKit
3. 理论上可以买有商业支持的库，但这跟安全没啥必然关系，不过当是付费背锅应付老板是可以的

26

COW

23 小时 12 分钟前 via Android

4

有种说不上来的感觉，就像是一个特意给 v 站引流的技术型营销人员的引导性提问

27

1una0bserver

22 小时 29 分钟前 via Android

有人审核≠随便装，说的苹果上就没有恶意软件一样，xz 那个案例原作者还看过的，不照样靠精心构造的代码完成了投毒？要不是代码有 bug+有安全专家正好发现问题，根本发现不了，一堆大神都难以发现的问题，你去指望可能连客服小祥水平都没有的客服去发现这种问题？而且这工作量得有多大？
还有，op 不叫 Luv Letter 有点可惜了