discuz X3.5安全問題反饋

wmqz130

/install/include/install_function.php   安全狗提示這個文件有風(fēng)險，請官方確定下是否真的有風(fēng)險?。ㄎ募枪俜降模也]有編輯過。）

1 貢獻(xiàn)

最佳答案

只要你確定文件是官方原版的，那就必然是誤報。拿不準(zhǔn)的話直接用官方文件覆蓋一下就行了。

• 專家
• 發(fā)表于2023-6-27 21:34:48
• 詳細(xì)答案 >

專家

只要你確定文件是官方原版的，那就必然是誤報。拿不準(zhǔn)的話直接用官方文件覆蓋一下就行了。

wmqz130

專家 發(fā)表于 2023-6-27 21:34
只要你確定文件是官方原版的，那就必然是誤報。拿不準(zhǔn)的話直接用官方文件覆蓋一下就行了。 ...

我也認(rèn)為官方文件應(yīng)該是誤報，但也同時提醒官方，再查查看看是否真的有問題。
謝謝你的回答。但“必然” 這個詞有點拍馬屁的嫌疑！

wk2012

wmqz130 發(fā)表于 2023-6-27 21:44
我也認(rèn)為官方文件應(yīng)該是誤報，但也同時提醒官方，再查查看看是否真的有問題。
謝謝你的回答。但“必然”  ...

確實，沒有任何事情是必然的，還是要多方考證才行！

專家

wmqz130 發(fā)表于 2023-6-27 21:44
我也認(rèn)為官方文件應(yīng)該是誤報，但也同時提醒官方，再查查看看是否真的有問題。
謝謝你的回答。但“必然”  ...

從專業(yè)的角度出發(fā)，就是必然，這個用詞沒有問題。
按常理角度考慮，確實凡事很少有絕對的。
但我這個詞也不是亂用的，Discuz是100%開源發(fā)布的軟件，一切源代碼均在倉庫里有據(jù)可查。

如果你了解開源軟件的這套修改、審核、打包、發(fā)布的機(jī)制，你自然會發(fā)現(xiàn)這其中根本沒有能動手腳的地方，整個倉庫里的整套流程都有大量的專業(yè)人士和大型站點的維護(hù)人員盯著每一處修改，而且很多是實時跟進(jìn)同步到真實站點的，不是看看而已的。
在這套流程下面要是有人膽敢光明正大的提交惡意代碼進(jìn)來，都不用我們出手，馬上就會接到反饋的，而且這種代碼根本不可能通過審核。

另外整個開源社區(qū)里的這些專業(yè)人士，可以說是全世界最了解Discuz的一批人了，如果真有他們?nèi)斯ざ紱]能直接看出來的問題，那也絕對不可能輪到一個第三方開發(fā)的掃描軟件掃出來。別說什么安全狗了，就連阿里云付費版的安全系統(tǒng)都做不到，他們沒這個技術(shù)實力。

專家

wk2012 發(fā)表于 2023-6-28 18:30
確實，沒有任何事情是必然的，還是要多方考證才行！

要相信科學(xué)啊。官方文件的修改都是建立在開源軟件國際通行的代碼版本管理體系之上的。你可以懷疑它有bug，但是絕對不可能有網(wǎng)頁木馬。
這種主觀故意性質(zhì)極強(qiáng)的惡意代碼，不可能在這么多人盯著的情況下合并進(jìn)來的。