这是一个创建于 582 天前的主题,其中的信息可能已经有所发展或是发生改变。
经常能看到为了解决一个问题,有人分享各种「一键脚本」,用于在自己的 VPS 上搭建各种服务。
如何判断这个「一键脚本」有没有夹带私货?
虽然很多脚本是开源的,有多少人在使用之前会进行代码审查?
(如某官方服务搭建只需要安装 5 个服务,而某一键脚本会安装 50+个不同的服务)
如何判断这个「一键脚本」有没有夹带私货?
虽然很多脚本是开源的,有多少人在使用之前会进行代码审查?
(如某官方服务搭建只需要安装 5 个服务,而某一键脚本会安装 50+个不同的服务)
 |
1
darer 2023-04-05 08:50:27 +08:00  3
那你把脚本丢给 chatgpt 让它帮你审查一下
我反正是会看一下的 如果哪里不喜欢还会改一下 |
 |
2
dawn009 2023-04-05 08:53:09 +08:00 1
不放心的不要用,尤其是服务器。
自己读一遍,或用 AI 辅助读。 浏览器安装油猴脚本时都会自动弹出代码让你自己审查一遍,就是这个道理。 |
 |
3
FranzKafka95 2023-04-05 09:05:22 +08:00 via Android 14
自己也是脚本作者,提供几点建议:
1.未开 ISSUE 区的需要谨慎 2.只有一两人维护的需要谨慎 3.小众的,无其他开源活跃者背书的需要谨慎 4.需要 root 权限的需要谨慎 5.脚本经过加密的需要谨慎 6.尽量使用官方推荐的一键 7.尽量使用维护更新透明(每一笔提交你能看到详细的修改内容)的一键 另外,不同人对于夹带私货的定义是有区别的。有的脚本作者喜欢在脚本中增加个人项目地址,博客地址,广告推广,这些在我看来都是可以的,有些人则不认同,这点就因人而异了。 |
 |
4
shiqueb 2023-04-05 09:10:16 +08:00 via Android
对于部分想快速跑通不想看一眼的,只能靠信仰了
|
 |
5
cmdOptionKana 2023-04-05 09:13:18 +08:00
一般有官网,稍有点名气的,我就不审查了,因为用户多,大概率有人会审查,并且这种一旦发现就是大新闻。
用户量小的脚本必须要看,这个危险程度很高。 |
 |
6
Cormic 2023-04-05 09:16:17 +08:00 1
我选择不用
|
 |
7
levelworm 2023-04-05 09:47:24 +08:00 via Android
自己研究一下
|
 |
8
pigzilla 2023-04-05 09:48:09 +08:00 4
一键脚本应默认视为有危险。不记得从什么时候开始流行 "curl | bash" 这种一键脚本,简直就是毒瘤。
|
 |
9
SenLief 2023-04-05 10:28:32 +08:00
你都用一键了 还管什么风险。
|
 |
10
leonshaw 2023-04-05 10:29:34 +08:00
拉下来一行一行复制
|
 |
11
forQ 2023-04-05 11:28:56 +08:00 1
看到一键就远离。自己一步一步来可能会遇到各种各样的问题,但是解决问题的过程更有意思
|
 |
12
storyxc 2023-04-05 11:31:00 +08:00 2
必须审查代码 不然就别用,前几天看个帖子 /t/928400 ,搭梯脚本直接把信息全上传到指定服务器了,而且这项目当时还有 1k+的 star
|
 |
13
cdlnls 2023-04-05 11:35:21 +08:00 2
反正我是选择不用脚本
特别是那种通过 curl sh 执行的,直接通过管道传给 sh ,执行后可以不留下记录。远程的服务端完全有可能针对不同的 user-agent ,甚至随机返回带恶意代码的脚本。 |
 |
14
Daybyedream 2023-04-05 15:17:04 +08:00
@pigzilla 推广云服务器时候,给人一键装 docker 装应用 hhh 我感觉是这样起来的风气
|
 |
15
OldCarMan 2023-04-05 15:49:07 +08:00
1.之前我发过类似的贴子,回答不多,可以看看:/t/920810 ;
2.该说的上面 v 友说的差不多了,个人补充一下: a.如果脚本代码量不多,可以自己 review 一下,把关键引用的库 /连接 /授权代码都排查一下; b.如果代码量大且复杂,除了排查关键库 /链接外,可以先在虚拟机里跑一下,跑完后观察一下虚拟机有没有什么可疑 的端口 /进程等之类的。 c.除此了普通链接,包 /库这种外部引用外,有时还得留意镜像仓库地址之类的,当引用到不明镜像仓库时,有官方镜 像的可以下载到自己的仓库里再引用进来。 |
|
16
OldCarMan 2023-04-05 15:50:25 +08:00
我以为 v 站会自动解析相对地址,上面的地址为: https://www.v2ex.com/t/920810
|
 |
17
JinTianYi456 2023-04-05 15:55:18 +08:00
@OldCarMan #16 可以解析的,你两边没空白符。你看#12 就可以
|
|
18
OldCarMan 2023-04-05 16:06:39 +08:00
@JinTianYi456 soga, get ✔
|
 |
19
lwjef 2023-04-05 16:12:57 +08:00 via iPhone
你信任的和你自己的。
|
 |
20
wu67 2023-04-05 16:45:59 +08:00
能信的就大型开源项目的吧. 例如 docker 本身的一键安装. 讲真跑 v2ray 一键脚本的时候我都有点战战栗栗...
|
 |
21
ck65 2023-04-05 16:48:45 +08:00 via iPhone
读一遍。自己不写无可厚非,但读一遍已经是底线了。
|
 |
22
litchinn 2023-04-06 11:46:26 +08:00
千万不要相信 `因为用户多,大概率有人会审查` ,因为大家都是这么想的
我现在装东西很少直接装,都是 docker ,没有提供 docker 镜像的就自己写 Dockerfile 最近一次用一键脚本就是 v2rayA 了,执行的时候心里确实是慌的 |
Select Language