根据这个页面:
但是,在我从NuGet官方包源下载软件包之前,例如这个,我不知道谁制作了这个软件包,也不知道其中包含了什么内容。在我看来,任何人都可以将任何东西打包成一个软件包,取任何想要的名称(如“Microsoft Prism”),只要该名称尚未使用,然后上传到官方包源。
我应该担心NuGet官方包源上软件包的安全性吗?
这让我感到不安。在我下载Firefox插件之前,我知道它不应该包含恶意代码,因为我了解所有addons.mozilla.org上的插件都经过Mozilla的审核。在我从codeplex.com或code.google.com下载开源项目之前,我知道它应该是安全的,因为任何人都可以检查它的源代码。而且我还可以使用WOT(信任之网)来了解其他人对该项目的看法。添加软件包没有集中的审核流程。当您上传软件包到NuGet软件包库(目前还不存在),您就不必等待数天或数周才能等待某人审核并批准它。相反,我们将依靠社区自我管理和监督软件库的内容。这是CodePlex.com和RubyGems.org的工作原则。
但是,在我从NuGet官方包源下载软件包之前,例如这个,我不知道谁制作了这个软件包,也不知道其中包含了什么内容。在我看来,任何人都可以将任何东西打包成一个软件包,取任何想要的名称(如“Microsoft Prism”),只要该名称尚未使用,然后上传到官方包源。
我应该担心NuGet官方包源上软件包的安全性吗?