我正在开发一个 Javascript webapp,想弄清楚如何添加文档。似乎唯一的选择是安装服务器上的某个东西。我想我可以试试 JSDuck。它有一个需要安装的 gem。所以我去了软件中心,寻找 Ruby 来获取 gem 安装程序。
当我发现该软件包时,最近的评论已经是六个月前了。它声称 Ruby 本身或 Ubuntu/Debian 软件包带有病毒。我觉得这很难相信。然而,在这段时间里,没有人证实或驳斥它。有人确切知道该ruby1:1.9.3.4软件包是安全的吗?
答案1
我找不到其他方法来找到这篇评论,只能入侵ruby软件包的原始评论 API。以下是该评论(我删减了一些元数据):
"rating": 1,
"reviewer_username": "JmHGnMf",
"usefulness_total": 7,
"usefulness_favorable": 0,
"summary": "Warning Virus (PUA)",
"review_text": "Warning This Program Has A Virus!!!!!!!!!! PUA<---",
"version": "1:1.9.3.4",
"date_created": "2014-05-26 17:39:13",
"reviewer_displayname": "Ray",
“Ray” 本来可以描述得更详细一些。什么病毒?证据在哪里?不出所料,7 位投票者中没有一人认为它有用。用户名看起来也像垃圾。
由于缺乏细节,我认为有人想让 Ruby 开发人员蒙羞。我会忽略它。
我并不是说我已经扫描过 Ruby 及其依赖项。如果您真的想,欢迎您在虚拟机上进行扫描。我是说我比单行 Ray 更信任 Ubuntu 开发流程。
Trusty 的 Ruby 软件包将获得安全更新,直至 2019 年 4 月。此后,也许我会考虑听听 Ray 的评论。
答案2
我认为“Ray”的评论可能是由过于热心的启发式防病毒扫描程序(可能从 Windows 运行)产生的误报。有许多防病毒程序的质量参差不齐,我读到过有些程序甚至会弹出误报,只是为了让它看起来像是真的在做某事。
很多恶意软件也会伪装成防病毒软件,可能指向随机文件并称其为病毒。如果真是这样,我也不会感到惊讶。
如果这不是“雷”编造的“病毒报复”警告的话。
如果您想亲自查看,源代码应该是可用的,尽管这可能有点困难(即使它盯着我,我也可能不会发现任何类似病毒的代码 ;-)