Существует ли риск драгоценного камня Ruby, действующего как троянец?
просто добавьте нижнюю строку в макет вашего ImageView
, если layout_width и layout_height для imageview не соответствует match_parent, чем использовать,
android:adjustViewBounds = "true"
или
android:adjustViewBounds = "true"
android:scaleType="fitXY"
или
android:adjustViewBounds = "true"
android:scaleType="centerCrop"
6 ответов
Конечно, есть. Вы устанавливаете на свой компьютер программное обеспечение, которое запускается с правами вызывающего его скрипта / пользователя. Вероятно, легче обнаружить вредоносный код в чистом Ruby, чем в двоичных пакетах. Но если вы считаете, что проверка источника - это гарантированный способ обнаружить вредоносный код, ознакомьтесь с закрытым конкурсом C .
Тем не менее, если вы хотите написать вредоносное ПО, существуют более эффективные системы доставки, чем Ruby драгоценные камни. Я не удивлюсь, если количество реально существующих вредоносных драгоценных камней равно 0, и, следовательно, вероятность того, что это вредоносный, также равна 0 ...
Я не согласен с вышеупомянутым постером, что вероятность существования вредоносных драгоценных камней равна 0. Всегда существует опасность использования вредоносных драгоценных камней. Будьте параноиком, но все равно добивайтесь своего.
Существует риск вредоносного кода всякий раз, когда вы импортируете неизвестную логику в приложение. Риски настолько велики, насколько серьезны данные, к которым это приложение имеет доступ. Например, как Java-апплеты изолированы.
Получите подписанные пакеты, которым вы доверяете, или посмотрите исходный код.
Если бы я хотел получить информацию о вероятности появления вредоносного драгоценного камня, я бы посмотрел, были ли обнаружены вредоносные пакеты на каком-либо языке (например, python egs или Perl CPAN), насколько вероятно, что вредоносный пакет был создан незаметно для всех, и является ли Ruby более опасным, чем другие языки.
Я мог бы посмотреть, смогу ли я создать сеть доверия - даже если я не знаю Автор драгоценного камня, знаю ли я кого-нибудь, кто знает?
Я мог бы также посмотреть, проверяют ли менеджеры пакетов, такие как Debian, вредоносность пакетов, и если да, то проверяли ли они драгоценный камень, который вы хотите использовать.
Я считаю, что есть две группы драгоценных камней.
Во-первых, «Известные жемчужины», которые, по совпадению, являются самыми крупными и содержат больше (иногда непонятных для моих навыков) кода / логики. Но эти жемчужины рецензируются многими другими разработчиками.
Затем есть «Незначительные драгоценные камни» (то есть, которые не так широко используются и распространяются). У этих драгоценных камней есть младшие версии, бета-версии и так далее.
Мое практическое правило: я доверяю первой группе и читаю весь код, который могу, из второй группы драгоценных камней.
Это не совсем так, поскольку у меня нет времени читать код каждого gem в моей системе, но я стараюсь обращаться к источникам всякий раз, когда мне нужно понять вызов метода или то, как реализована определенная функция, которая заставляет меня почти всегда читать как минимум 2-3 исходных файла.
Если я ' m собираюсь установить определенные функции, которые я использую для поиска в github и проверки реализации, количества форков и разработчиков, активности (количества и частоты коммитов) и так далее.
Тем не менее, я использую, чтобы доверять драгоценным камням, потому что я никогда не обнаруживал ничего намеренно вредного, кроме плохих реализаций и некоторых дыр в безопасности.
Были предложения по криптографической подписи драгоценных камней, чтобы вы знали, по крайней мере, что код автора не были подделаны, но это не было воспринято