没有中央审核流程 - 你是正确的。在获取来自任何来源的编译二进制文件时,您应该行使相同程度的谨慎。有人可能会在任何公共网站(sourceforge、cnet等)上放置恶意代码。安全是关于最小化风险,而不是消除它。如果您的数据/信息至关重要,则应该自己审核软件(或让熟知该领域的人员审核)。您不仅可以下载恶意代码,还可以引入软件中未被包编写者预期的漏洞。这里的责任在于最终用户。此外,仅仅因为软件经过“审核”并不意味着它是安全的。 这是一篇文章,讲述了一个提交到AppStore并获得批准的恶意软件。这不是个案。如果这是针对您个人/小型项目和非机密数据的,如果您坚持使用广泛使用的带有许多评论的软件包,我不会太担心。社区可以帮助监督此类事情,因为每个扩展都有一个“向Microsoft报告扩展”的链接。