现在开发越来越依靠镜像站，这些站被投毒了怎么办？

后果自负

pgp key 验证，除非你刚开始的 pgp key 就是毒的

包是会验证签名的啊。。。

brew 的 hash 是写在代码里的，想投毒貌似只能把你下到本地的 brew 代码也改了，应该不容易。
brew 和 npm 一般是不需要 sudo 权限的，就算有恶意代码也干不了啥吧

科大源被攻击过

有 pgp key ，虽然很多人都不知道是什么，如何用，有些用了也不知道…

为什么不去怀疑 windows 自带后门…

作为运营镜像站的人忍不住冒出来说一句，

怀疑主动投毒的，想多了，

怀疑被动投毒的，如果有人有能力黑一个仅开了 HTTP 服务的机器，他就不需要去黑镜像站了，能做的事情多了去了。

对的， USTC 的源曾经被攻击过，攻击后的服务器自动给每个文件的头加上了随机的数据
被攻击是由于管理服务器的前 USTC 会长的 SSH 客户端（ windows 下）被感染的 dll 所截取数据，服务器的恢复大概花费了一段时间，因为镜像做一次全新同步会给学校网络带来非常大的负担，于是这个镜像就暂时没有全部做同步，而是采取类似于增量覆盖的方式进行的替换

@kiritoalex

这攻击也太 不小心了。。。

@kiritoalex 不过我想问一句，他们的服务器 SSH 难道没有禁止外网访问吗，，，

@Kirscheis 印象中 npm 和 gem 比较频繁请求 sudo 的，否则会报 permission denied

@wy315700 说到主动投毒，我并不怀疑各位人品，但是我想，搭建开源镜像站的技术都是公开的，所以黑产是不是可以自己搭一个钓鱼镜像站散布出来，就像在闹市区放一个公开 wifi 抓密码一样

@loading 确实是新知道 pgp key ，赶紧去学习一发涨姿势

https://github.com/ChALkeR/notes/blob/master/Do-not-underestimate-credentials-leaks.md
这里披露了一些泄露登录信息的 npm 包，确实存在投毒的可能性，尤其是 express ，太多公司在用了，而且负责关键的 http 接口

所以，我都是在 https 官网先找到 hash 后再到镜像站下载，官网没公布 hash 的，就能只能弃了。。。

@wy315700 可能是科大里的黑帽子做的。。。。。。

@wy315700 你维护的哪个镜像站?

@mzer0
http://mirrors.opencas.cn/
中科院镜像啊，

@wy315700 镜像站是怎么做的? 要联系母站吗?

@mzer0
一般开源软件都有做镜像的方法的
比如 centos 的 https://wiki.centos.org/HowTos/CreatePublicMirrors
使用 rsync 同步以后，申请加入官方镜像
一般是发邮件申请或者是加入到邮件列表