我看好多人发帖说没事又撸了一个开源项目,特别想调研下,你们会关心你们开源项目的安全性吗?

2022-03-23 15:44:00 +08:00
 ssltest

不管是会还是不会,想听听为什么?

是不知道怎么解决安全问题?不知道有没有安全问题?

还是完全不关心?

(因为我发现随便 clone 一个开源项目,漏洞真的是很多啊)

2565 次点击
所在节点    开源软件
21 条回复
0o0O0o0O0o
2022-03-23 15:54:02 +08:00
iflyapi
2022-03-23 16:04:41 +08:00
我听说 fastjson 漏洞挺多,不用了,但没有去研究过漏洞,你们看看我的项目有漏洞吗?
https://github.com/flyhero/easy-log
wonderfulcxm
2022-03-23 16:05:07 +08:00
安全不是开发时必须考虑的问题吗?开不开源都要考虑啊,不然自己也不敢用,除非就没打算用 。
iddddg
2022-03-23 16:06:53 +08:00
@0o0O0o0O0o 谢谢,每日一笑
ssltest
2022-03-23 16:21:01 +08:00
@iflyapi 好啊
ssltest
2022-03-23 16:28:21 +08:00
iflyapi
2022-03-23 16:30:21 +08:00
@ssltest 谢谢!平时该怎么检测项目的漏洞呢?
ssltest
2022-03-23 16:34:44 +08:00
@iflyapi https://github.com/murphysecurity/murphysec 看下这个开源项目,你可以装 IDE 插件,也可以直接用这个 cli 检测
l00t
2022-03-23 16:36:32 +08:00
不考虑
Chism
2022-03-23 18:58:31 +08:00
看标题还以为楼主说的安全性指的是万一被不法利用是否会惹祸上身的事
erquren
2022-03-23 19:13:07 +08:00
AoEiuV020CN
2022-03-23 19:44:08 +08:00
有注意到的安全问题就会处理一下,不会刻意去纠结安全不安全漏洞不漏洞,

可以说项目里绝大多数漏洞都是无法被利用的,

尤其那种检查依赖几百个漏洞,能实际被恶意利用的也没几个,

再说项目也未必值得被别人攻击,花精力纠结漏洞未必值得,
darksword21
2022-03-23 19:47:55 +08:00
@0o0O0o0O0o 笑死😆
ssltest
2022-03-23 21:21:27 +08:00
@AoEiuV020CN 你说的很对,所以一般我们会标记出来哪些漏洞是真实可被利用的;另外其实不是怕你的项目被攻击,主要是担心别人如果用了你的项目代码会有影响。
ssltest
2022-03-23 21:23:19 +08:00
ssltest
2022-03-23 22:00:39 +08:00
@0o0O0o0O0o 让您取笑了。抱歉:)
leimao
2022-03-23 22:40:21 +08:00
no
96368a
2022-03-23 23:12:36 +08:00
@ssltest 看了一下你们项目文档,里面说暂时还未支持 python ,但是你这里已经能检测 django 漏洞了,所以能不能顺便给我看看这个项目😂
https://github.com/tongchengbin/ocean_ctf
ssltest
2022-03-24 10:14:03 +08:00
@96368a 完,成了摆摊的了,啥的测,其实是内测版已经支持了 py ,我马上给您看看勒
ssltest
2022-03-24 10:17:57 +08:00
@96368a 没有发现什么问题哟。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/842374

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX