discuz X3.5安全問題反饋

wmqz130

/install/include/install_function.php   安全狗提示這個文件有風險，請官方確定下是否真的有風險！（文件是官方的，我并沒有編輯過。）

1 貢獻

最佳答案

只要你確定文件是官方原版的，那就必然是誤報。拿不準的話直接用官方文件覆蓋一下就行了。

• 專家
• 發表于2023-6-27 21:34:48
• 詳細答案 >

專家

只要你確定文件是官方原版的，那就必然是誤報。拿不準的話直接用官方文件覆蓋一下就行了。

wmqz130

專家 發表于 2023-6-27 21:34
只要你確定文件是官方原版的，那就必然是誤報。拿不準的話直接用官方文件覆蓋一下就行了。 ...

我也認為官方文件應該是誤報，但也同時提醒官方，再查查看看是否真的有問題。
謝謝你的回答。但“必然” 這個詞有點拍馬屁的嫌疑！

wk2012

wmqz130 發表于 2023-6-27 21:44
我也認為官方文件應該是誤報，但也同時提醒官方，再查查看看是否真的有問題。
謝謝你的回答。但“必然”  ...

確實，沒有任何事情是必然的，還是要多方考證才行！

專家

wmqz130 發表于 2023-6-27 21:44
我也認為官方文件應該是誤報，但也同時提醒官方，再查查看看是否真的有問題。
謝謝你的回答。但“必然”  ...

從專業的角度出發，就是必然，這個用詞沒有問題。
按常理角度考慮，確實凡事很少有絕對的。
但我這個詞也不是亂用的，Discuz是100%開源發布的軟件，一切源代碼均在倉庫里有據可查。

如果你了解開源軟件的這套修改、審核、打包、發布的機制，你自然會發現這其中根本沒有能動手腳的地方，整個倉庫里的整套流程都有大量的專業人士和大型站點的維護人員盯著每一處修改，而且很多是實時跟進同步到真實站點的，不是看看而已的。
在這套流程下面要是有人膽敢光明正大的提交惡意代碼進來，都不用我們出手，馬上就會接到反饋的，而且這種代碼根本不可能通過審核。

另外整個開源社區里的這些專業人士，可以說是全世界最了解Discuz的一批人了，如果真有他們人工都沒能直接看出來的問題，那也絕對不可能輪到一個第三方開發的掃描軟件掃出來。別說什么安全狗了，就連阿里云付費版的安全系統都做不到，他們沒這個技術實力。

專家

wk2012 發表于 2023-6-28 18:30
確實，沒有任何事情是必然的，還是要多方考證才行！

要相信科學啊。官方文件的修改都是建立在開源軟件國際通行的代碼版本管理體系之上的。你可以懷疑它有bug，但是絕對不可能有網頁木馬。
這種主觀故意性質極強的惡意代碼，不可能在這么多人盯著的情況下合并進來的。