如何判断一个「一键脚本」没有夹带私货?

2023-04-05 08:45:24 +08:00
 airbotgo
经常能看到为了解决一个问题,有人分享各种「一键脚本」,用于在自己的 VPS 上搭建各种服务。
如何判断这个「一键脚本」有没有夹带私货?
虽然很多脚本是开源的,有多少人在使用之前会进行代码审查?
(如某官方服务搭建只需要安装 5 个服务,而某一键脚本会安装 50+个不同的服务)
4372 次点击
所在节点    问与答
23 条回复
darer
2023-04-05 08:50:27 +08:00
那你把脚本丢给 chatgpt 让它帮你审查一下
我反正是会看一下的 如果哪里不喜欢还会改一下
dawn009
2023-04-05 08:53:09 +08:00
不放心的不要用,尤其是服务器。
自己读一遍,或用 AI 辅助读。
浏览器安装油猴脚本时都会自动弹出代码让你自己审查一遍,就是这个道理。
FranzKafka95
2023-04-05 09:05:22 +08:00
自己也是脚本作者,提供几点建议:
1.未开 ISSUE 区的需要谨慎
2.只有一两人维护的需要谨慎
3.小众的,无其他开源活跃者背书的需要谨慎
4.需要 root 权限的需要谨慎
5.脚本经过加密的需要谨慎
6.尽量使用官方推荐的一键
7.尽量使用维护更新透明(每一笔提交你能看到详细的修改内容)的一键

另外,不同人对于夹带私货的定义是有区别的。有的脚本作者喜欢在脚本中增加个人项目地址,博客地址,广告推广,这些在我看来都是可以的,有些人则不认同,这点就因人而异了。
shiqueb
2023-04-05 09:10:16 +08:00
对于部分想快速跑通不想看一眼的,只能靠信仰了
cmdOptionKana
2023-04-05 09:13:18 +08:00
一般有官网,稍有点名气的,我就不审查了,因为用户多,大概率有人会审查,并且这种一旦发现就是大新闻。

用户量小的脚本必须要看,这个危险程度很高。
Cormic
2023-04-05 09:16:17 +08:00
我选择不用
levelworm
2023-04-05 09:47:24 +08:00
自己研究一下
pigzilla
2023-04-05 09:48:09 +08:00
一键脚本应默认视为有危险。不记得从什么时候开始流行 "curl | bash" 这种一键脚本,简直就是毒瘤。
SenLief
2023-04-05 10:28:32 +08:00
你都用一键了 还管什么风险。
leonshaw
2023-04-05 10:29:34 +08:00
拉下来一行一行复制
forQ
2023-04-05 11:28:56 +08:00
看到一键就远离。自己一步一步来可能会遇到各种各样的问题,但是解决问题的过程更有意思
storyxc
2023-04-05 11:31:00 +08:00
必须审查代码 不然就别用,前几天看个帖子 /t/928400 ,搭梯脚本直接把信息全上传到指定服务器了,而且这项目当时还有 1k+的 star
cdlnls
2023-04-05 11:35:21 +08:00
反正我是选择不用脚本

特别是那种通过 curl sh 执行的,直接通过管道传给 sh ,执行后可以不留下记录。远程的服务端完全有可能针对不同的 user-agent ,甚至随机返回带恶意代码的脚本。
Daybyedream
2023-04-05 15:17:04 +08:00
@pigzilla 推广云服务器时候,给人一键装 docker 装应用 hhh 我感觉是这样起来的风气
OldCarMan
2023-04-05 15:49:07 +08:00
1.之前我发过类似的贴子,回答不多,可以看看:/t/920810 ;

2.该说的上面 v 友说的差不多了,个人补充一下:
a.如果脚本代码量不多,可以自己 review 一下,把关键引用的库 /连接 /授权代码都排查一下;
b.如果代码量大且复杂,除了排查关键库 /链接外,可以先在虚拟机里跑一下,跑完后观察一下虚拟机有没有什么可疑
的端口 /进程等之类的。
c.除此了普通链接,包 /库这种外部引用外,有时还得留意镜像仓库地址之类的,当引用到不明镜像仓库时,有官方镜
像的可以下载到自己的仓库里再引用进来。
OldCarMan
2023-04-05 15:50:25 +08:00
我以为 v 站会自动解析相对地址,上面的地址为: https://www.v2ex.com/t/920810
JinTianYi456
2023-04-05 15:55:18 +08:00
@OldCarMan #16 可以解析的,你两边没空白符。你看#12 就可以
OldCarMan
2023-04-05 16:06:39 +08:00
@JinTianYi456 soga, get ✔
lwjef
2023-04-05 16:12:57 +08:00
你信任的和你自己的。
wu67
2023-04-05 16:45:59 +08:00
能信的就大型开源项目的吧. 例如 docker 本身的一键安装. 讲真跑 v2ray 一键脚本的时候我都有点战战栗栗...

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/929902

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX