제대로 실행하려면 a package을 보았습니다. settings.json의 공개 섹션에 무엇인가 입력하도록 요청합니다. 이로 인해 나머지 정보 (AWS 키와 같은 현명한 정보)에 액세스 할 수 있는지 궁금하게되었습니다.내 설정에 액세스하는 타사 패키지에 대해 걱정해야합니까?
그럼 걱정할 필요가 있습니까? 아니면 Meteor가 패키지에서이 정보를 숨 깁니까?
제대로 실행하려면 a package을 보았습니다. settings.json의 공개 섹션에 무엇인가 입력하도록 요청합니다. 이로 인해 나머지 정보 (AWS 키와 같은 현명한 정보)에 액세스 할 수 있는지 궁금하게되었습니다.내 설정에 액세스하는 타사 패키지에 대해 걱정해야합니까?
그럼 걱정할 필요가 있습니까? 아니면 Meteor가 패키지에서이 정보를 숨 깁니까?
NPM, Ruby Gems 및 Meteor 패키지 서버를 포함한 패키지 관리자에서 설치 한 모든 패키지는 fs
모듈을 사용하여 파일을 읽고 쓰고 네트워크에 액세스하는 등 사용자의 컴퓨터에서 임의의 코드를 실행할 수 있습니다 데이터를 수신 할 수 있습니다.
실제로 인터넷에서 응용 프로그램을 설치할 때마다 개발자의 신뢰가 동일합니다. 컴퓨터의 거의 모든 응용 프로그램이 Dropbox, Chrome 등 settings.json
파일을 읽을 수 있습니다.
따라서 패키지 코드에서 settings.json
파일을 완전히 보호 할 방법이 없습니다. 패키지가 안전한지 확인하는 유일한 방법은 커뮤니티 승인 패키지 만 사용하거나 사용중인 패키지의 소스 코드를 읽는 것입니다.