V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
airbotgo
V2EX  ›  问与答

如何判断一个「一键脚本」没有夹带私货?

  •  
  •   airbotgo · 2023-04-05 08:45:24 +08:00 · 4365 次点击
    这是一个创建于 591 天前的主题,其中的信息可能已经有所发展或是发生改变。
    经常能看到为了解决一个问题,有人分享各种「一键脚本」,用于在自己的 VPS 上搭建各种服务。
    如何判断这个「一键脚本」有没有夹带私货?
    虽然很多脚本是开源的,有多少人在使用之前会进行代码审查?
    (如某官方服务搭建只需要安装 5 个服务,而某一键脚本会安装 50+个不同的服务)
    23 条回复    2023-04-07 07:57:11 +08:00
    darer
        1
    darer  
       2023-04-05 08:50:27 +08:00   ❤️ 3
    那你把脚本丢给 chatgpt 让它帮你审查一下
    我反正是会看一下的 如果哪里不喜欢还会改一下
    dawn009
        2
    dawn009  
       2023-04-05 08:53:09 +08:00   ❤️ 1
    不放心的不要用,尤其是服务器。
    自己读一遍,或用 AI 辅助读。
    浏览器安装油猴脚本时都会自动弹出代码让你自己审查一遍,就是这个道理。
    FranzKafka95
        3
    FranzKafka95  
       2023-04-05 09:05:22 +08:00 via Android   ❤️ 14
    自己也是脚本作者,提供几点建议:
    1.未开 ISSUE 区的需要谨慎
    2.只有一两人维护的需要谨慎
    3.小众的,无其他开源活跃者背书的需要谨慎
    4.需要 root 权限的需要谨慎
    5.脚本经过加密的需要谨慎
    6.尽量使用官方推荐的一键
    7.尽量使用维护更新透明(每一笔提交你能看到详细的修改内容)的一键

    另外,不同人对于夹带私货的定义是有区别的。有的脚本作者喜欢在脚本中增加个人项目地址,博客地址,广告推广,这些在我看来都是可以的,有些人则不认同,这点就因人而异了。
    shiqueb
        4
    shiqueb  
       2023-04-05 09:10:16 +08:00 via Android
    对于部分想快速跑通不想看一眼的,只能靠信仰了
    cmdOptionKana
        5
    cmdOptionKana  
       2023-04-05 09:13:18 +08:00
    一般有官网,稍有点名气的,我就不审查了,因为用户多,大概率有人会审查,并且这种一旦发现就是大新闻。

    用户量小的脚本必须要看,这个危险程度很高。
    Cormic
        6
    Cormic  
       2023-04-05 09:16:17 +08:00   ❤️ 1
    我选择不用
    levelworm
        7
    levelworm  
       2023-04-05 09:47:24 +08:00 via Android
    自己研究一下
    pigzilla
        8
    pigzilla  
       2023-04-05 09:48:09 +08:00   ❤️ 4
    一键脚本应默认视为有危险。不记得从什么时候开始流行 "curl | bash" 这种一键脚本,简直就是毒瘤。
    SenLief
        9
    SenLief  
       2023-04-05 10:28:32 +08:00
    你都用一键了 还管什么风险。
    leonshaw
        10
    leonshaw  
       2023-04-05 10:29:34 +08:00
    拉下来一行一行复制
    forQ
        11
    forQ  
       2023-04-05 11:28:56 +08:00   ❤️ 1
    看到一键就远离。自己一步一步来可能会遇到各种各样的问题,但是解决问题的过程更有意思
    storyxc
        12
    storyxc  
       2023-04-05 11:31:00 +08:00   ❤️ 2
    必须审查代码 不然就别用,前几天看个帖子 /t/928400 ,搭梯脚本直接把信息全上传到指定服务器了,而且这项目当时还有 1k+的 star
    cdlnls
        13
    cdlnls  
       2023-04-05 11:35:21 +08:00   ❤️ 2
    反正我是选择不用脚本

    特别是那种通过 curl sh 执行的,直接通过管道传给 sh ,执行后可以不留下记录。远程的服务端完全有可能针对不同的 user-agent ,甚至随机返回带恶意代码的脚本。
    Daybyedream
        14
    Daybyedream  
       2023-04-05 15:17:04 +08:00
    @pigzilla 推广云服务器时候,给人一键装 docker 装应用 hhh 我感觉是这样起来的风气
    OldCarMan
        15
    OldCarMan  
       2023-04-05 15:49:07 +08:00
    1.之前我发过类似的贴子,回答不多,可以看看:/t/920810 ;

    2.该说的上面 v 友说的差不多了,个人补充一下:
    a.如果脚本代码量不多,可以自己 review 一下,把关键引用的库 /连接 /授权代码都排查一下;
    b.如果代码量大且复杂,除了排查关键库 /链接外,可以先在虚拟机里跑一下,跑完后观察一下虚拟机有没有什么可疑
    的端口 /进程等之类的。
    c.除此了普通链接,包 /库这种外部引用外,有时还得留意镜像仓库地址之类的,当引用到不明镜像仓库时,有官方镜
    像的可以下载到自己的仓库里再引用进来。
    OldCarMan
        16
    OldCarMan  
       2023-04-05 15:50:25 +08:00
    我以为 v 站会自动解析相对地址,上面的地址为: https://www.v2ex.com/t/920810
    JinTianYi456
        17
    JinTianYi456  
       2023-04-05 15:55:18 +08:00
    @OldCarMan #16 可以解析的,你两边没空白符。你看#12 就可以
    OldCarMan
        18
    OldCarMan  
       2023-04-05 16:06:39 +08:00
    @JinTianYi456 soga, get ✔
    lwjef
        19
    lwjef  
       2023-04-05 16:12:57 +08:00 via iPhone
    你信任的和你自己的。
    wu67
        20
    wu67  
       2023-04-05 16:45:59 +08:00
    能信的就大型开源项目的吧. 例如 docker 本身的一键安装. 讲真跑 v2ray 一键脚本的时候我都有点战战栗栗...
    ck65
        21
    ck65  
       2023-04-05 16:48:45 +08:00 via iPhone
    读一遍。自己不写无可厚非,但读一遍已经是底线了。
    litchinn
        22
    litchinn  
       2023-04-06 11:46:26 +08:00
    千万不要相信 `因为用户多,大概率有人会审查` ,因为大家都是这么想的
    我现在装东西很少直接装,都是 docker ,没有提供 docker 镜像的就自己写 Dockerfile
    最近一次用一键脚本就是 v2rayA 了,执行的时候心里确实是慌的
    wxyrrcj
        23
    wxyrrcj  
       2023-04-07 07:57:11 +08:00 via Android
    @litchinn 所以 v2raya 有问题吗
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2887 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 06:20 · PVG 14:20 · LAX 22:20 · JFK 01:20
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.