Joshua Thijssen: Installieren Komponist: Russisches Roulette.

In diese neuen Beitrag auf seiner Website Joshua Thijssen Gespräche über die „Russian Roulette“, die im Single-Line-Installation von Komponist (beteiligt ist wie es erwähnt hier ) und wie sie ein schlechtes Beispiel für die Entwickler zu folgen setzt.

Michael Maclean hat einen sehr guter Artikel auf, was ist falsch mit diesem. Sein Punkt im Wesentlichen darauf an dies: Sie haben keine Möglichkeit zu wissen, was Sie eigentlich die Installation auf Ihrem System, und wenn es die Software als von den ursprünglichen Entwicklern vorgesehen ist. Besonders Entwickler neigen dazu, dies mehr und mehr oft, und in noch gefährlichere Arten tun. Nun, das ist schlecht für sich natürlich, aber dies ist nicht eine einfache Anwendung, die Sie auf Gelegenheit (wenn das war eine Entschuldigung zu beginnen). Composer ist die Software, die so ziemlich alle Steuerelemente Ihre Anwendung Abhängigkeiten. Was würde passieren, wenn diese Software würde seine Pakete von packagists.org oder packagits.org holen?

Er bringt ein Szenario, wo, sagen Packagist.org gehackt wird und Verbindungen zu Repositories verändert werden. Wenn Sie blind installieren werden via Komponist, würden Sie haben keine Ahnung, dass der Code mit dem Sie arbeiten möglicherweise behaftet ist. Er stellt fest, dass es läuft darauf hinaus, das Vertrauen auf die Quelle und, wie einige einfache Hash könnten einige der Probleme zu helfen. Er spricht auch kurz über Sicherheitsfragen, die diskutiert wurden (wie „SSL verwenden“ oder „nicht als root ausführen“), um zu verhindern Fragen.

Er schlägt vor, die Umsetzung der Hash-based Unterzeichnung der Downloads sicherstellen, dass die Software, die Sie bekommen, was Sie erwarten. Er erwähnt loszuwerden automatische Updates und die Schaffung von signierten Pakete / Tarballs zur Steigerung der Sicherheitsüberprüfung Fähigkeiten des Installers.

PHPDeveloper.org

Schreibe einen Kommentar