Nugetパッケージが機密情報に対して安全であることを確認するにはどうすればよいですか?
名前、住所、SSNなどの多くの顧客情報を扱っています。情報が保存されているデータベースにアクセスできるフル管理マシンで新しいセットアップを使用しています。
Visual Studios Nuget Package Managerを介してインストールされたパッケージが顧客の機密情報で安全に使用できるかどうかを確認する方法が必要です。
私が知っていることから、誰でもNugetに貢献でき、悪意のあるコードを導入する可能性があるということです。
Nugetパッケージを安全であると確認する信頼できる有名な機関/ソースはありますか?または、ソースコード全体を調べずにこれらのパッケージの安全性を確保するために企業が実施できる審査プロセスはありますか?
誰でもNugetに貢献でき、悪意のあるコードを導入する可能性があります。
誰でも新しいパッケージを寄稿できます。既存のパッケージの所有者のみがそれを変更できます。
Nuget Packagesが安全であることを確認する信頼できる有名な機関/情報源はありますか
私の知る限りでは
ソースコード全体を調べずに、これらのパッケージの安全性を確保するために企業が実施できる審査プロセスはありますか?
まず第一に、パッケージのメンテナを精査します-あなたが要求したのと同じ方法で、「Nugetパッケージを安全であると確認する機関/ソース」です。パッケージの背後にある本体を信頼している場合は、その制御下にあるものに拡張できます。同じプロセスを依存関係に適用してください!
パッケージの作成者を信頼できない場合は、コードを監査する必要があります。