this page के अनुसार:NuGet आधिकारिक पैकेज स्रोत: क्या मुझे पैकेज की सुरक्षा के बारे में चिंतित होना चाहिए?
संकुल जोड़ने के लिए कोई केंद्रीय अनुमोदन प्रक्रिया। जब आप NuGet पैकेज गैलरी (जो अभी तक मौजूद नहीं है) में कोई पैकेज अपलोड करते हैं, तो आपको किसी दिन की समीक्षा करने और इसे स्वीकृति देने के लिए इंतजार करने के लिए दिन या सप्ताह के लिए इंतजार नहीं करना पड़ेगा। इसके बजाए, जब हम फ़ीड की बात करते हैं तो हम समुदाय पर मध्यम और पुलिस के लिए भरोसा करेंगे। यह CodePlex.com और RubyGems.org कैसे काम करता है इस भावना में है।
इससे मुझे असहज महसूस होता है। फ़ायरफ़ॉक्स ऐड-ऑन डाउनलोड करने से पहले, मुझे पता है कि इसमें दुर्भावनापूर्ण कोड नहीं होना चाहिए, क्योंकि AFAIK addons.mozilla.org पर सभी एड-ऑन की समीक्षा मोज़िला द्वारा की जाती है। Codeplex.com या code.google.com से ओपन सोर्स प्रोजेक्ट डाउनलोड करने से पहले, मुझे पता है कि यह सुरक्षित होना चाहिए क्योंकि कोई भी इसका स्रोत कोड देख सकता है। और मैं इस परियोजना के बारे में अन्य लोगों के बारे में सोचने के लिए WOT (ट्रस्ट का वेब) भी उपयोग कर सकता हूं।
लेकिन इससे पहले कि मैं NuGet आधिकारिक पैकेज स्रोत से पैकेज डाउनलोड करता हूं। उदाहरण के लिए this one लें। मुझे नहीं पता कि यह पैकेज किसने बनाया है, न ही पैकेज में क्या शामिल है। ऐसा लगता है कि कोई भी पैकेज में कुछ भी पैक कर सकता है, उसे वह नाम दे सकता है (जैसे "माइक्रोसॉफ्ट प्रिज्म", जब तक नाम नहीं लिया जाता है), फिर इसे आधिकारिक पैकेज स्रोत पर अपलोड करें।
क्या मुझे NuGet आधिकारिक पैकेज स्रोत पर पैकेज की सुरक्षा के बारे में चिंतित होना चाहिए?
"... वह मिलेगा, उजागर होगा और यहां तक कि मुकदमा चलाया जाएगा।" इनमें से अधिकांश प्रॉक्सी के परतों के माध्यम से बनाए गए नकली खातों के साथ होता है। हां, यह पाया जाएगा लेकिन किसी पर भी मुकदमा चलाया जाएगा। – ConfusedDeer