【发布时间】:2014-01-11 15:41:55
【问题描述】:
我想知道是否有一种有效的方法来审核开源项目的源代码,而无需在每次应用程序更新时检查所有纯文本文件,以及何时有新的源代码可供下载。
我想创建一个可以为我自动扫描项目的应用程序,但我认为它甚至不会达到很好的有效性水平,因为有很多方法可以在项目中实现恶意软件代码不常见。审计旨在检测开源项目中的恶意软件。
你对我有什么建议吗?
【问题讨论】:
-
@IraBaxter,尝试转义 * 但
rm *.*不会删除所有文件? -
不要使用任何开源,创建它的社区要么编码恶意软件,要么允许贡献恶意软件。任何其他选项只是军备竞赛的另一种形式,即在封闭源代码中检测恶意软件。
-
@Popnoodles:有些东西删除了我的评论。是的, rm star dot star 的重点是它会删除所有文件,因此是恶意的。特别是,更改两个字符会将程序从良性转换为恶意。 【在cmets中引用文本的规则是什么?它们记录在哪里?]
标签: open-source project malware auditing