v2ray 的go.sh 还不能更新到4.18.1 所以我还不敢用怕是不是v2ray官方内部有中国安插的间谍随便用了个号来发布有后门的binary #1665
Comments
|
|
不是,如果你作为v2ray项目的开发者能够在某种情况下发了一个release出来然后很多脚本都有自动更新那样,那个release有后门的话不就会影响到很多人吗,虽然我所知道的飞机场都是自己部署的v2ray,但是发布者能够为所欲为地上传带有后门与源代码不一致的版本而签名和sha-256什么的由发布者随便填的也是所以希望能够有什么办法指明新的release binary与源代码之间的关系比如通过另一个可靠的网络来声称最近官方发布了一个新版本那样而不是只有github来让人得知有新版本了那样,让人可以确信github上的改动是官方的改动 |
|
我同意把ticket close掉不过 |
|
谢谢你的意见,我们将在接下来讨论 |
|
审阅源码也是开源软件用户的责任,另编译方法见: |
源代码是摆在那里看得见的,问题是要是release不是按照源码编译的 |
|
当然可以自己编译那样,但是这种供应链攻击会让普通用户受伤,而且国内的环境下这可不是程序员随便闹着玩的问题也要想想那些可能被波及的即将被关押进小黑屋里的维权人士也是程序员的普遍责任不是吗@yoakaline |
|
这种事情可不是一下子能够解决的,我能理解的,但还是建议采取一些办法来免疫上游攻击这样 |
|
文件中的dgst就是为了解决这个问题,你可以自行编译验证。
Xyncgas <[email protected]> 于 2019年4月28日周日 02:16写道:
… 审阅源码也是开源软件用户的责任,另编译方法见:
#1437 <#1437>
如果你不放心release的,可以自己用代码编译
源代码是摆在那里看得见的,问题是要是release不是按照源码编译的
—
You are receiving this because you modified the open/close state.
Reply to this email directly, view it on GitHub
<#1665 (comment)>,
or mute the thread
<https://github.com/notifications/unsubscribe-auth/ABKCYI4WK7VL6G2ASQRMCB3PSSKALANCNFSM4HI4QYCQ>
.
|
|
你提的这个问题并不好解决。 只能摊手引用一句”没有绝对的安全“。 |
|
补充一点提醒: |
希望能够让源代码与binary之间的关系更加明确一点,从长远来看有办法确保release里的Binary跟github上的源代码是一致的能够免疫供应链攻击
The text was updated successfully, but these errors were encountered: