Hazır kütüphaneler ne kadar güvenli?

Merhabalar,

Aslında hazır kütüphaneleri pek çok programda kullanıyoruz. Python özelinde sormuş olayım. Python geliştiricileri tarafından hazırlanan pek çok gömülü veya 3. kişiler tarafından oluşturulmuş modül ve kütüphaneleri doğrudan projelerimize aktarıp kullanıyoruz. Bunlar hiç güvenlik riski taşımıyor mu? Adamlar kodun bir köşesine casus yazılım koyduysa bunu nasıl tespit edeceğiz?

1 Beğeni

Taşıyor, geçmişte zararlı yazılım içeren kütüphaneler tespit edilmişti.

Şuan tedbir alındı mı veya nasıl bir yol izlemeliyiz ben de emin değilim. Bu konulara hakim arkadaşlar varsa takipteyim.

1 Beğeni

Tasiyor. Tanim geregi, guvenligi oldugunu varsaymadigin insanlar tarafindan yazilan veya kriptografik dogrulama olmadan sunulan her yazilim guvenlik riski tasiyor.

Kodu okuyarak.

2 Beğeni

Zaten bütün python kütüphaneleri kullanılmak için açık kaynak kodlu olarak py uzantısında olmalı veya c ile yazılmış ise o zaman da yine kodlarını okuyabildiğimiz başka uzantılarda olmak zorunda Ve evet bunu yapan bazı kütüphaneler vardı ama tespit edildi. Kodlarını okuyarak. Ama tabi ki de en güvenli yöntem sadece çok bilinen veya kodları okunmuş olan kütüphaneler kullanmaktır. Ancak bu her zaman mümkün olmuyor. O zaman yapılacak en iyi şey kodlarını okumaktır.

C ile yazılmış bir eklentinin Python’dan kullanılabilmesi için shared library olarak derlenmiş olması lazım. Bu dosyalar herhangi bir EXE veya ELF formatındaki dosyadan daha okunabilir değil.

Bunu bilmiyordum. Zaten pek fazla c ile yazılmış kütüphanelerin dosyalarını da incelemedim. Ama yine de bu dosyaların casus yazılım olduğunu anlamak pek zor değil eğer çok profesyonel birisi tarafından yazılmamışsa. Ağ trafiğine ve arka planda çalışan programlara bakılarak neyin ne olduğu kolayca anlaşılır.