我如何验证Octoprint不能/不会将我的RaspberryPi变成恶意软件？

Question

我没有任何冒犯的意思，但当我设置我的Octoprint时，我的一位持怀疑态度的同事指出，它想要伸手检查自动软件更新，为潜在的攻击者创造广阔的表面积。

毕竟，RaspberryPi是我家庭网络中的一台设备，我担心如果它下载并运行旨在查找我网络中其他易受攻击的设备的代码，可能会发生什么。

我想我能读懂开源代码，但我不知道软件交付的故事是什么。

计划捐赠给Gina Häußge's Patreon直接询问。

Answer 1

您可以关闭Octoprint的自动更新功能。它也是开源的，因此您可以修改它的代码，使其永远不会与Internet联系。

Answer 2

引用Gina Häußge

与您在计算机上安装的任何软件一样，不能保证它不会被滥用。OctoPrint的更新机制仅通过HTTPS使用Github Release，我要求任何拥有存储库提交访问权限的人都要启用双因素身份验证。这应该使得通过官方更新机制推送任何流氓版本的可能性很小。你也可以完全拒绝OctoPrint访问互联网，它会运行得很好。但是请记住，您需要手动处理更新和插件安装等工作。说到插件，你显然也不应该安装任何你在网上找到的东西。我尽我最大的努力审核在官方存储库注册的插件，但我不能保证它们的作者为他们的存储库启用了2FA等……我能告诉你的是，我尽了最大的努力，在安全性上花了很多心思，如果到了紧要关头，你总是可以自己阅读代码。