Python 、C#、Node.js 有像苹果 App Store 一样每个包都经过人工审查的，可以放心随便安装包的安全仓库吗？

app store 要收钱的, python, C#,nodejs 能收钱吗

AppStore 也不是包都有人工审查吧。

这个问题有点离谱了

苹果是收每个开发者 99 刀阿, 很大一笔钱了

其他都免费的, 怎么比

@Nasei 光一个 npm 都已经出现多少次投毒事件了，我记得名字的就有 node-ipc 、faker 、color 、ts-patch-mongoose 你能确保你永远不会下载到把你文件删光的恶意包？

@chenqh 可以向愿意花钱买安全的人收费呀
@iorilu

@drymonfidelia #5 这些都是有名气的被投毒的包，肯定还有非常多恶意包至今没被发现

从一开始，你就得搞清楚，开源就得自己小心避开这些坑，自己担责，毕竟免费白嫖别人的劳动成果。用的好你开心...也就你开心了，contributor 又不开心，拿空闲时间维护项目，还没钱。

现在你说要审核，好。钱从哪里来？向苹果一样收开发者上架费么？还是搞个组织对整个 GitHub 上的每个 project 每条 commit 审核？

前者开发者不开心，社区规模还能有这么大？，原因见 p1 。
后者的钱从哪来？免费？免费为什么要多加一层审核？免费你能信任他们？ 收费？以前就有类似的概念，曾经跟“开源”打生打死后来开源干成了，就是商业闭源，这种你能接受嘛？近 20 年在开源社区活跃的几千万开发者都不接受哦。

我相信你要能接受不会问这个问题，源头还是想白嫖+有人担责。 那哪有傻瓜给你担责？

@drymonfidelia 这些包你可以说没有审查，也可以说被所有人审查，你可以自己看的，苹果那个 app 审查跟审查代码库不论难度还是成本，都完全没有可比性

@drymonfidelia #5

第一，现在不是没有商业闭源的库，你自己找需要的用呗，不少。
第二，近 20 年过去了，想付费搞开源库整合的一个都没活下来，为啥？工作量太大了，人力太高了。

@maix27 问题是除非一个一个 commit 审核，否则根本没有办法能避开这些坑呀。我 5 楼举的例子里面除了 ts-patch-mongoose 这个包一开始就在作恶，另外 3 个都是已经流行后在一个版本更新里面加入恶意代码的。哪怕用 AST 也很难准确判断一个包是否有恶意行为

@drymonfidelia #10 你也说了 “一个一个 commit 审核”，你猜哪个国家的程序员有这样的规模？哪个国家有这样的优势能这样审查？ 20 年来没人做，是大家不想做么？

@maix27 有没有什么办法对开源社区的这些产出定价呢？

@forisra 定什么价呢?android 就是对 linux 的终极白嫖..还定价.

学 gitee 啊

@forisra
所有产出都是免费的，你贡献给我，我也贡献给你，只有这样才能保证开源的纯洁性，保证开源的繁荣。甚至，保证开源的无国界性，开源社区是没有 leader 的发现没？它没有一个实际上的领导者的地位，为啥？就是因为没有利益。就是因为这些，才从大公司里杀出血路。


量化这些产出就是让开源社区变狼，而且是最大最凶恶的野狼。这头狼有了野心，有了头脑，甚至有了有国界有软肋的头脑，你猜它先咬谁？咬大公司？还是咬小小的散户工程师？再其次代表西方国家的利益咬你 x 国，你受的了？

@maix27 #11 对所有的包都审查是不现实，但是对公开仓库的 top 2000 甚至 top 5000 的包审查，审查通过后上架到安全仓库，应该会有大公司愿意买单吧？

@drymonfidelia 你能说出大公司对开源的贡献,而大公司又没有从中赚钱的,你能说出多少个呢?

@drymonfidelia #16

没有，为啥？开源不是请客吃饭，请客吃饭就吃一顿。开源呢？今天你买单，明年还你买单，后年还你买单，哪家大公司负担的起。

现在就是叫大公司给某开源项目每年捐个 3k 刀都换另一个白嫖了，就这你指望哪个大公司花钱审核？

@maix27 开源的目的就是白嫖,公开云白嫖的飞起...

https://socket.dev 可以审查安全性，但不是人工的