Compositeur et packagiste - comment éviter l'injection de code malveillant

Question

Existe-t-il un mécanisme permettant de s'assurer que les paquets téléchargés dans packagist.org sont exempts de code malveillant? Est-ce que quelqu'un regarde le code source dans les paquets installés/téléchargés. Par exemple: Que se passe-t-il si quelqu'un télécharge un paquet qui remplit sa fonction principale et en dehors de cela envoie mon fichier de configuration au serveur externe?

Lorsque l'installation de paquets est aussi simple que d'ajouter une ligne dans composer.json, je suis un peu inquiet que la situation ci-dessus peut se produire.

Answer 1

Voilà la bénédiction et la malédiction des logiciels libres. Vous avez généralement le code source entier disponible pour l'inspection. Cela signifie qu'il est assez difficile pour quiconque d'inclure du code malveillant et de le laisser passer inaperçu, même si ce n'est pas une assurance complète contre cela. Jaugez l'ambiance autour de l'emballage, combien de personnes l'utilisent, quels commentaires ou billets dans le tracker d'émission disent.

Il revient à: n'utilisez pas un logiciel en qui vous n'avez pas confiance. Faites-le confiance en l'évaluant vous-même ou en faisant confiance à la communauté pour l'avoir fait.