戴姆勒集团投资安全吗?
看了下cocos的代码,感觉还是挺安全的 一个项目的安全,我觉得主要取决于三个方面 项目本身的架构是否合理,是否存在安全风险点; 项目团队的构建和安全意识; 第三方的漏洞和攻击的风险。
cocos这个项目本身我认为是没什么大风险的,虽然用到了sqlite,但是已经做了很强的安全防护,攻击者很难通过正常途径攻破。
至于有人提到的不合理的权限问题,我想说的是,任何程序都不可能做到100%的安全,关键是看风险出现后的处理措施,cocos在这方面做的也比较好。 我看了下代码,如果发生了权限越权,会立刻停止该进程并记录错误信息。
另外就是代码审核的问题了,任何安全策略都是在代码完成后才加入的,如果代码本身就有漏洞,那么再怎么防范也是徒劳。所以代码审核至关重要 看到有人说应该使用开源代码审核工具,我这里说的当然也包括源码,不过源码不是唯一的方式,比如我们可以把想要审核的内容发布到论坛或者问答网站,只要别人回答了就可能带来安全问题,因为回答的人很可能不知道存在的安全隐患。 如果确实需要审核开源代码,我推荐使用gitea或者github自己搭建的代理服务器来下载代码,这样可以过滤掉很多可能的恶意内容。
最后就是第三方漏洞和攻击的风险了 对于一个项目来说,这是最难控制的一点 因为第三方漏洞和攻击的出现很难预测,而且很多时候是因为其他项目出现了问题,才引发的连锁反应。对于这种情况,最好的防御方法就是及时打补丁,同时做好版本控制,这样即使出现了问题,也能及时回滚到安全状态 最后总结一下,任何一个项目都是人工做出来的,再好的安全策略也不是100%有效,我们要做的是尽可能降低风险出现的概率和降低风险出现后带来的损失。