问如何检查开放源码库中的击键记录器？

EN

最近我有机会对FileZilla、eMule和Shareaza进行了一次软件安全分析。我在cppcheck、老鼠和ITS4中运行了代码。没有一个工具能够分辨出一段代码是良性的还是有害的。它需要目视检查-这就是我所做的。我花了两周时间逐行检查每一段源代码。我可能漏掉了什么。这就是为什么我的工作得到了另一个人的支持，他也发现了与我相同或更多的东西。例如，FileZilla使用PHP脚本来确定在PASV模式下的外部IP地址。这个PHP脚本是做什么的？谁真的知道呢？我认为你的观点和观点很有道理。根据您的策略，您应该采取一种风险缓解策略，并亲自检查来源或聘请外部顾问。这样，您将确保软件是安全的。然而，即使关键记录器可能已经安装，您仍然需要通过防火墙、防病毒、ACLs等实践“深度防御”。

这属于“信任它，它的开源”类别。如果有足够多的人在看一个项目的代码，那么任何人都不可能错过任何邪恶的东西。此外，看看支持该项目的一方的声誉。是J.RandomCoder还是Apache软件基金会？显然，代码库越小，就越难插入任何内容。开源项目是否依赖于任何非开源的外部库？如果某个项目是托管在未知网站上的模糊项目的自定义分支.井。

另外，我不会特别担心键盘记录器，而是更多的安全性。这包括意外的安全漏洞，这更有可能发生在一个小的项目。后门、实现不好的隐私以及对系统的必要访问都是比有意的键盘记录器更有可能发生的风险。

开发人员可以通过不给予每个人和企鹅提交权限来防止他们的开源项目的流氓提交人。自由软件/开放源码的区别原则并不是开发是群体来源的(尽管它可以)，而是可以将项目分叉。

下载软件的人需要小心执行，对于F/OSS和专有/封闭源代码软件也是如此。从有信誉的来源获得的软件通常是好的(无论是哪种情况)；夜间飞来飞去的软件更有可能有恶意软件。