诚实:您安装的软件包诚实吗? 您安装的软件包与GitHub上的软件包真的一样吗? 在安装源代码之前,请先对其进行验证! 为什么 可以在GitHub,BitBucket,GitLab等上审查所有开源项目。 但是,您确定发布到pip / gem的软件包与git-repository中的软件包完全相同吗? 想象一下:在GitHub上看起来所有用户都是安全,好用户,但是谁检查了推送到PyPI的数据包? 如果开发人员在推送前在源代码中隐藏了单行后门,该怎么办? 安装后,您便拥有了! 让我们找出您安装的软件包是否诚实! 安装 $ git clone https://github.com/davi