在不损害安全性的情况下设计开放源码测试框架

Question

上下文

机器人框架网站在其外部库列表中提到robotframework-autoitlibrary，它指向http://code.google.com/p/robotframework-autoitlibrary/.And，我找到了一个git https://github.com/nokia/robotframework-autoitlibrary，当我们执行pip安装时，这是正在安装的库。

问题：

因此，在我们的日常工作生活中，我们寻找解决办法，使事情顺利进行。我们可以重用由个人开发和发布的npm模块、pip模块等。

在上面的上下文中，文档指向了一个与我安装的模块不同的模块，当事情发生故障时，我意外地注意到了这个模块。

问题

我问机器人框架松弛社区，大多数人说它是安全的使用，许多人正在使用它(就像我一样)。

但是，如何知道开放源码包或模块对于我们的测试框架是安全的呢？如何决定在事实的基础上使用什么，而不仅仅是多数人的意见。

作为测试工程师，我们尝试不同的包来使事情正常工作。我们学习教程，了解如何读取CSV、如何连接到数据库等，但对我们在框架中使用的第三方模块中发生的事情知之甚少。

Answer 1

恐怕一般的答案是“你必须依赖社区”，因为代码对大量的人来说是可见的，很多人都会对它进行审查，任何人都可以自由地发布他们对任何特定代码的安全性的关注。这给了一个相当强烈的信念，没有任何后门故意增加。

当然，这并不能防止任何潜在的非自愿影响。我想说的是，保护你免受这种影响的最好方法是孤立你的环境。这样，您就可以限制从执行测试代码、添加代理、防火墙等的机器上获得的资源。

Answer 2

添加到@Alexey R.应答。

您绝对应该依靠社区来评估和发现安全性和其他问题。这不仅适用于测试框架，也适用于产品生产中使用的工具和包。

但是，这并不能使您立即适应问题，在国家预防机制的建议中滚动，您将看到在生产过程中检测到的关键问题。

您需要在社区之上开发和使用一层实践、流程和工具，以使自己更安全。

以下是一些常见的最佳做法-

• 拥有该工具的专用所有者。负责跟踪工具的警报和更新的人。
• 不要使用最新和最好的版本，选择一个经过一段时间验证和测试的版本。
• 不要在测试中自动更新工具和包。
• 使用本地存储库(如蛙工厂化 )并阻止对外部存储库的访问。这将使您能够强制使用哪个版本，并防止对旧版本所做的更改。
• 运用常识。始终从官方网站下载，检查开发人员是谁，验证下载的文件校验和等。