如何确定tabnine、codium这些闭源工具的安全性?

开源的库/工具只要用的人不算太少,肯定是有人审查源码的,我不看也会有人帮我看。那些免费但闭源的工具呢?它说它永远不会上传我的任何代码,如何保证它的确没有联网呢?好像windows和mac在新的app试图联网的时候都会弹uac之类的,但每个app都一定会弹吗?如果它们说不上传代码但要上传帮助改进的usage信息呢?

windows和mac在新的app试图联网的时候都会弹uac之类的

如何确保 Windows 和 MacOS 的安全性?

1 个赞

没事别瞎操心,你如果真想确认,那就自己看系统调用,否则就别用。 最该操心的是你手机上安装国家反诈中心没有…

就算开源的代码有很多人看着,也不代表它一定不会有 bug,更不会说明它很安全。开源只是意味着阅读学习和修改的自由,恐怕没有安全性上的保证,emacs 源代码随处可见这样的注释:

;; GNU Emacs is distributed in the hope that it will be useful,
;; but WITHOUT ANY WARRANTY; without even the implied warranty of
;; MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

开源也意味着使用后果都需要用户来承担。

最好的选择就是不用。

在不得不用的情况下,如果对安全性性有疑虑,需要设置安全的环境,可行的有:

  1. 在没有保存敏感信息的设备上用
  2. 在 sandbox 中运行
  3. 物理断网,通过离线安装包更新

我曾经见过反向操作的,有服务器windows server2008上不装任何安全软件,反倒装一堆垃圾软件,什么2345、好压、xx输入法…日常广告弹窗无穷尽。完全不给病毒软件面子,最后终于成功召唤出btc勒索病毒,数据全丢。

那时我就醒悟了:"安全性"完全是人的问题,不是软件的问题,软件设计的再好也是没有用的。你越是用心、辛苦的做一个东西,方方面面都考虑到,最后你就越会有被人糟蹋的感觉

1 个赞