我购买的Python/Javascript文件中会有恶意软件吗？

Question

我最近在fiverr上购买了django-react代码。我对网络开发不太了解。这可能只是偏执狂，但是否有可能有一些恶意的恶意软件在这类文件。如果我运行服务器，那么运行它的pc会发生什么事情吗？

Answer 1

简而言之，HTML、PY、JS等文件是否有可能包含恶意内容，是的。如果您在PC上运行此服务器，任何恶意内容都会对正在运行的PC造成不良影响，是的。

好吧，这就是这件事的可怕之处。让我们更客观地考虑这个问题。让我们考虑一下这些文件如何包含恶意内容，更重要的是您能做些什么。

1. 作者故意将恶意代码写入文件

当然，这是可能的，但在我看来不太可能。制造恶意软件的人正在寻找时间投资的回报。在fiverr上为您的请求编写一个解决方案，并包含恶意内容，这是一项巨大的投资，回报微乎其微。

另外，请记住，任何承包商/自由职业者都是建立在信任的基础上的。如果他们被抓到为客户编写恶意代码，那么他们的声誉就会受到影响。有一本关于你能信任谁？的好书，它详细介绍了平台上的信任，共享商品和服务。

如果您确实想检查代码中的问题，那么我将使用静态代码分析器(例如Fortify)和渗透测试。

1. 作者已经包含了一个具有恶意内容的开源模块

在我看来，这更有可能。过去曾有通过共享机制发布的模块的例子，例如NPM包含了恶意内容。以下是几个例子：

• 恶意NPM包
• 比特币掠夺者

好消息是，对您来说，检查已知的问题是非常容易的。例如，由于您有JS文件，所以我假设它依赖于npm，因此可以使用npm-审计来检查安全性建议的依赖关系。

总之，在您的位置上，我首先要确保代码使用的依赖项没有任何重要的安全建议。然后，如果系统足够关键，我将使用静态代码分析工具(例如Fortify)检查自定义代码。最后，总是好的一个公众面对系统是得到一个很好的渗透测试。

这里的关键点是考虑系统的风险配置，然后决定您需要/应该做哪些投资来确保系统的安全性。这是一个面向客户的系统，获取敏感信息(如银行/信用卡详细信息)，还是内部内联网系统？第一种方法需要更严格的安全检查，以确保您的客户安全。