我下载了一个声称是开源的软件,但是我没能从源代码构建该项目(它是用 go 编写的)。
我的另一个选择是下载二进制文件并运行它。
如果我运行此文件而不授予其 root 权限,它会对我的计算机造成任何损害吗?也许它可以正常工作,但它可能带有键盘记录程序或其他类型的恶意软件...我应该担心吗?
答案1
理论上,您在计算机上执行的每个文件都可能造成危害,并可能包含键盘记录器。
人们应该在多大程度上相信某个程序没有特洛伊木马的说法?也许更重要的是相信编写该软件的人。
肯尼斯·莱恩·“肯”·汤普森(生于 1943 年 2 月 4 日),黑客圈内通常被称为肯,是美国计算机科学的先驱。汤普森职业生涯的大部分时间都在贝尔实验室工作,他设计并实现了最初的 Unix 操作系统。他还发明了 B 编程语言(C 编程语言的直接前身),并且是 Plan 9 操作系统的创建者和早期开发者之一。自 2006 年以来,汤普森一直在谷歌工作,在那里他共同发明了 Go 编程语言。
答案2
如果该软件是恶意软件,危害可能已经造成。许多流行的构建系统(例如)make都是功能齐全的脚本语言,可以执行二进制文件可以执行的任何操作。还可能存在其他风险,例如编译器/解释器中的漏洞。仅仅因为软件是开源的并不意味着构建它或运行生成的二进制文件是安全的。
您应该在无法访问敏感文件的虚拟机中构建/运行不受信任的软件。
答案3
这取决于您正在执行的操作。例如,它可能无法访问您的 /etc/shadow 文件,但它可以根据文件和文件夹中的权限执行其他操作,或者利用系统的安全问题来获得特权。所以,说实话,只要确保您尝试运行的任何内容都是合法的(通过检查校验和或确切了解您正在做什么),您就不会遇到任何问题。许多应用程序要求您不要以 Root 身份运行它们。