discuz X3.5安全问题反馈

wmqz130

/install/include/install_function.php   安全狗提示这个文件有风险，请官方确定下是否真的有风险！（文件是官方的，我并没有编辑过。）

1 贡献

最佳答案

只要你确定文件是官方原版的，那就必然是误报。拿不准的话直接用官方文件覆盖一下就行了。

• 专家
• 发表于2023-6-27 21:34:48
• 详细答案 >

专家

只要你确定文件是官方原版的，那就必然是误报。拿不准的话直接用官方文件覆盖一下就行了。

wmqz130

专家 发表于 2023-6-27 21:34
只要你确定文件是官方原版的，那就必然是误报。拿不准的话直接用官方文件覆盖一下就行了。 ...

我也认为官方文件应该是误报，但也同时提醒官方，再查查看看是否真的有问题。
谢谢你的回答。但“必然” 这个词有点拍马屁的嫌疑！

wk2012

wmqz130 发表于 2023-6-27 21:44
我也认为官方文件应该是误报，但也同时提醒官方，再查查看看是否真的有问题。
谢谢你的回答。但“必然”  ...

确实，没有任何事情是必然的，还是要多方考证才行！

专家

wmqz130 发表于 2023-6-27 21:44
我也认为官方文件应该是误报，但也同时提醒官方，再查查看看是否真的有问题。
谢谢你的回答。但“必然”  ...

从专业的角度出发，就是必然，这个用词没有问题。
按常理角度考虑，确实凡事很少有绝对的。
但我这个词也不是乱用的，Discuz是100%开源发布的软件，一切源代码均在仓库里有据可查。

如果你了解开源软件的这套修改、审核、打包、发布的机制，你自然会发现这其中根本没有能动手脚的地方，整个仓库里的整套流程都有大量的专业人士和大型站点的维护人员盯着每一处修改，而且很多是实时跟进同步到真实站点的，不是看看而已的。
在这套流程下面要是有人胆敢光明正大的提交恶意代码进来，都不用我们出手，马上就会接到反馈的，而且这种代码根本不可能通过审核。

另外整个开源社区里的这些专业人士，可以说是全世界最了解Discuz的一批人了，如果真有他们人工都没能直接看出来的问题，那也绝对不可能轮到一个第三方开发的扫描软件扫出来。别说什么安全狗了，就连阿里云付费版的安全系统都做不到，他们没这个技术实力。

专家

wk2012 发表于 2023-6-28 18:30
确实，没有任何事情是必然的，还是要多方考证才行！

要相信科学啊。官方文件的修改都是建立在开源软件国际通行的代码版本管理体系之上的。你可以怀疑它有bug，但是绝对不可能有网页木马。
这种主观故意性质极强的恶意代码，不可能在这么多人盯着的情况下合并进来的。