V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ssltest
V2EX  ›  开源软件

我看好多人发帖说没事又撸了一个开源项目,特别想调研下,你们会关心你们开源项目的安全性吗?

  •  
  •   ssltest · 2022-03-23 15:44:00 +08:00 · 2320 次点击
    这是一个创建于 736 天前的主题,其中的信息可能已经有所发展或是发生改变。

    不管是会还是不会,想听听为什么?

    是不知道怎么解决安全问题?不知道有没有安全问题?

    还是完全不关心?

    (因为我发现随便 clone 一个开源项目,漏洞真的是很多啊)

    21 条回复    2022-03-24 21:44:01 +08:00
    0o0O0o0O0o
        1
    0o0O0o0O0o  
       2022-03-23 15:54:02 +08:00 via iPhone   ❤️ 13
    iflyapi
        2
    iflyapi  
       2022-03-23 16:04:41 +08:00
    我听说 fastjson 漏洞挺多,不用了,但没有去研究过漏洞,你们看看我的项目有漏洞吗?
    https://github.com/flyhero/easy-log
    wonderfulcxm
        3
    wonderfulcxm  
       2022-03-23 16:05:07 +08:00 via iPhone
    安全不是开发时必须考虑的问题吗?开不开源都要考虑啊,不然自己也不敢用,除非就没打算用 。
    iddddg
        4
    iddddg  
       2022-03-23 16:06:53 +08:00
    @0o0O0o0O0o 谢谢,每日一笑
    ssltest
        5
    ssltest  
    OP
       2022-03-23 16:21:01 +08:00
    @iflyapi 好啊
    ssltest
        6
    ssltest  
    OP
       2022-03-23 16:28:21 +08:00
    iflyapi
        7
    iflyapi  
       2022-03-23 16:30:21 +08:00
    @ssltest 谢谢!平时该怎么检测项目的漏洞呢?
    ssltest
        8
    ssltest  
    OP
       2022-03-23 16:34:44 +08:00
    @iflyapi https://github.com/murphysecurity/murphysec 看下这个开源项目,你可以装 IDE 插件,也可以直接用这个 cli 检测
    l00t
        9
    l00t  
       2022-03-23 16:36:32 +08:00
    不考虑
    Chism
        10
    Chism  
       2022-03-23 18:58:31 +08:00 via Android
    看标题还以为楼主说的安全性指的是万一被不法利用是否会惹祸上身的事
    erquren
        11
    erquren  
       2022-03-23 19:13:07 +08:00
    AoEiuV020CN
        12
    AoEiuV020CN  
       2022-03-23 19:44:08 +08:00 via Android
    有注意到的安全问题就会处理一下,不会刻意去纠结安全不安全漏洞不漏洞,

    可以说项目里绝大多数漏洞都是无法被利用的,

    尤其那种检查依赖几百个漏洞,能实际被恶意利用的也没几个,

    再说项目也未必值得被别人攻击,花精力纠结漏洞未必值得,
    darksword21
        13
    darksword21  
       2022-03-23 19:47:55 +08:00 via iPhone
    @0o0O0o0O0o 笑死😆
    ssltest
        14
    ssltest  
    OP
       2022-03-23 21:21:27 +08:00
    @AoEiuV020CN 你说的很对,所以一般我们会标记出来哪些漏洞是真实可被利用的;另外其实不是怕你的项目被攻击,主要是担心别人如果用了你的项目代码会有影响。
    ssltest
        15
    ssltest  
    OP
       2022-03-23 21:23:19 +08:00
    ssltest
        16
    ssltest  
    OP
       2022-03-23 22:00:39 +08:00
    @0o0O0o0O0o 让您取笑了。抱歉:)
    leimao
        17
    leimao  
       2022-03-23 22:40:21 +08:00 via iPhone
    no
    96368a
        18
    96368a  
       2022-03-23 23:12:36 +08:00 via Android
    @ssltest 看了一下你们项目文档,里面说暂时还未支持 python ,但是你这里已经能检测 django 漏洞了,所以能不能顺便给我看看这个项目😂
    https://github.com/tongchengbin/ocean_ctf
    ssltest
        19
    ssltest  
    OP
       2022-03-24 10:14:03 +08:00
    @96368a 完,成了摆摊的了,啥的测,其实是内测版已经支持了 py ,我马上给您看看勒
    ssltest
        20
    ssltest  
    OP
       2022-03-24 10:17:57 +08:00
    @96368a 没有发现什么问题哟。
    96368a
        21
    96368a  
       2022-03-24 21:44:01 +08:00
    @ssltest 谢谢,我看前面几个项目都有安全性问题,心里有点慌
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1045 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 19:17 · PVG 03:17 · LAX 12:17 · JFK 15:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.