现在开发越来越依靠镜像站，这些站被投毒了怎么办？

npm -> 淘宝 npm 镜像站
gem -> 淘宝 gem 镜像站
brew -> 清华 tuna 镜像站
pip -> 清华、中科院镜像站
等等。。

有了上次的 xcodeghost 事件，让人开始担心这些镜像站的安全性，万一哪天被黑了，被挂马了，岂不是又要感染一大片？

Cu635

2015-12-19 00:24:51 +08:00

你列举的这些软件，做镜像的话是有 hash 值和 gpg 签名的，能够保证内容不被篡改。

Cu635

2015-12-19 00:28:02 +08:00

@VmuTargh

科大源是被攻击过，但是没有被投毒。

有好几次 hashsum mismatch ，但是最后都发现要么是运营商的缓存问题，要么是源本身正在更新还没有更新完毕，不是被攻击的问题。

Cu635

2015-12-19 00:35:11 +08:00

@kiritoalex
不是“每个文件的头加上了随机的数据 ”，而是在关闭 socket 时选择硬盘的随机位置写入一个字节。

cxbig

2015-12-19 00:55:25 +08:00

自己的开发环境，翻墙就好
在某些不便于翻墙的国内服务器部署，先去翻墙抓到所有的包，放服务器直接安装。

zonghua

2015-12-19 00:59:34 +08:00

用 maven 下载了半个互联网，用的是开源中国的镜像。发现同名的包会有不同的组织，而上传代码似乎是不用验证的？

zsj950618

2015-12-19 01:39:33 +08:00

不用 gpg 验证的包管理器不是好的包管理器。

zsj950618

2015-12-19 01:43:13 +08:00

另外没有一个软件镜像站是会对其提供的内容的正确性做任何担保的，数据的正确性的校验应该是使用者自己来负责。

LINAICAI

2015-12-19 02:02:40 +08:00

我大 win 多年来镜像一样大把大把的人用～谁注意过了

lightening

2015-12-19 02:37:33 +08:00

@jin5354 我做 Rails 的三年里没有遇见过一个 gem 是需要 root 权限的……

jin5354

2015-12-19 09:54:58 +08:00

@lightening 安装时会请求 sudo ，我不会 ruby ，只用 gem 安装过某些依赖...

xiaket

2015-12-19 11:47:19 +08:00

@wy315700 "如果有人有能力黑一个仅开了 HTTP 服务的机器，他就不需要去黑镜像站了"

这么说是不太清晰明确的, 实际上, 大多数镜像站开放的是静态站点, 要黑一个根本不在后台运行脚本(php/py 等)逻辑的站点, 是相当难的.

RqPS6rhmP3Nyn3Tm

2015-12-19 16:17:11 +08:00

为什么没人做 bintray 镜像站呢

lightening

2015-12-19 18:54:44 +08:00

@jin5354 哦我知道了，你用的是系统的 ruby 。一般做开发都会用个 rbenv 什么的，类似 virtualenv ，在用户空间管理 ruby 版本和 gem 。

hqs123

2015-12-20 08:42:52 +08:00

开发镜像一般都是在大学教育机构那里，都有技术人员高手维护的，这个倒不用担心啊

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.