패키지 우리는 어떻게 Nuget 패키지 관리자를 통해 다운로드 패키지 가 안전 고객의 기밀 데이터를 사용할 수 있는지 확인 할 수 있습니까? 내가 아는 바로는 누군가가 Nuget에 기여할 수 있으며 악의적 인 코드가 도입되어 Visual Studio를 통해 다운로드 될 수있는 경우가 있습니다. 보장 기밀 데이터가
우리는 패키지를 사용하는 것이 안전하다는 것을 보장하기 위해 Nuget에서 수의사에게 패키지를 수있는 방법을 알아 내려고 노력하고있다.이 패키지를 사용하는 것이 안전하다는 것을 말한다 어떤 신뢰받는 기업/소스가 있습니까?
또는 사람이 현재 그들을 위해 노력하고 있습니다 신원 조사 프로세스를 사용? 마지막으로 우리가 사용하고자하는 각 패키지를 살펴보고 취약점을 조사하는 것은 시간이 오래 걸리기 때문입니다. 우리는 nuget.org에 NuGet 패키지를 게시 할 때 Nuget로부터 보호
보장 기밀 데이터가
패키지, nuget는 안전한지 확인하려면 각 패키지를 확인합니다. 당신은 the document of nuget.org에서 메시지 아래에서 얻을 수 있습니다 : 공개되기 전에
는 모든 패키지는 nuget.org 바이러스 스캔에 업로드하고 바이러스가 발견되면 거부했다. nuget.org에 나열된 패키지도 모두 주기적으로 스캔됩니다..
따라서 nuget.org의 패키지는 안전하게 사용할 수 있습니다. 코멘트
업데이트 : 패키지를 스캔해도
, 그들은 취약하지 않습니다 의미하지는 않습니다. 오래된 패키지는 악용 될 수있는 취약한 프로세스를 사용할 수 있습니다.
귀하의 불안은 당신이 어떤 소스에서 얻을 소프트웨어에서 다운로드하더라도 소프트웨어에 적용한다 '앱 스토어'(예를 들어, 애플 아이튠즈, 안드로이드 마켓)를 실행 가능하게 악성 코드를 포함 할 수 있습니다. NuGet 팀은 Nuget 닷넷 개발자를위한 소프트웨어 라이브러리의 신뢰할 수있는 소스가 있음을 보장하기위한 규칙 및 메커니즘와 함께 제공하지만, 여전히 모든 패키지가 절대적으로 안전을 보장 할 수 없었다.
귀하의 IT 보안이 손상되지 않았는지 확인하기위한 최종 책임은 귀하에게 있습니다. 귀하가 취하는주의 사항은 매우 중요합니다.. 완전히 의미 론적 버전 번호
잠금 :
내가 당신에게 제공하고자 수있는 몇 가지주의 사항이 있습니다. 명시 적으로 메이저, 마이너 및 패치 번호를 지정하십시오. 새로운 업데이트가 안전하거나 의미 론적 버전이 정확하다고 가정하지 마십시오.
만 사용 아니라 생산을위한 최신 버전을 알려져 있습니다.
제한된 액세스 권한이있는 테스트 환경에서 실험 해보십시오.
공급 업체를 확인하십시오.
사실 Microsoft 개발자 커뮤니티는 포식자가 구석 구석에 숨어있는 일반적인 인터넷 사용자 커뮤니티와는 매우 다릅니다. 또한 개발자 커뮤니티의 지식 수준도 상당히 높습니다. 누군가가 의도적으로 악성 코드를 Nuget이나 Github과 같은 신뢰할 수있는 채널을 통해 흘린다면 그 사람이 발견되고 노출되며 심지어 기소 될 것입니다. 해를 끼칠 의도로 작성된 소프트웨어는 계약에 의해 직접 또는 간접적으로 보호 될 수 없습니다.
희망이 도움이됩니다.
패키지를 검사하더라도 취약하지 않다는 의미는 아닙니다. 오래된 패키지는 악용 될 수있는 취약한 프로세스를 사용할 수 있습니다. – JustinJmnz
@JustinJmnz, 귀하의 의견에 대한 답변을 업데이트했습니다. 도움이되는지 확인할 수 있습니다. –