PHP Composer a bezpečnost

Zrovna jsem zkoumal jak přesně funguje Composer a docela mne zarazilo, že se nikde v návodu ani jinde nemluví o bezpečnosti. Vlastně jediné výskyty slova "security" jsem našel v bugreportech a hanlivých blogpostech (např.).

Zdá se mi to, nebo opravdu je tak rozšířený nástroj zcela nezabezpečený a je možné balíčky vcelku snadno podvrhnout hned několika způsoby?

Hello world ! Segmentation fault (core dumped)

Ani Linuxové distribúcie nie sú oveľa bezpečnejšie (pretože pochybujem, že nikto naozaj kontroluje zdrojové kódy). ;)

Mimochodom ani som netušil že okrem pear pre Php existuje aj iný systém inštalovania balíčkov (a predpokladám, že ani pear na tom nie je s bezpečnosťou oveľa lepšie).

A nakoniec, problémy môžu byť aj s PyPI a predpokladám, že aj s inými správcami balíčkov (aj pre iné jazyky).

10.2.2013 19:58 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: PHP Composer a bezpečnost

Distribuce alespoň podepisují balíčky, takže je celkem jistý původ takového balíčku a mělo by být velmi obtížné ho podvrhnout. Co se do něj zabalí už je jiná pohádka, ale předpokládám, že distributoři si to budou aspoň trochu hlídat a dbát o svou důvěryhodnost.

Hello world ! Segmentation fault (core dumped)

10.2.2013 22:22 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: PHP Composer a bezpečnost

Distribuce alespoň podepisují balíčky

Portage prý není podepsaná (nezkoumal jsem).

Shodou okolností jsem tu o tom nedávno psal. Podle mě by se nad tím dal postavit skvělý botnet.

Dotaz: PHP Composer a bezpečnost

Odpovědi