security - 我购买的 Python/Javascript 文件中是否存在恶意软件？

简短的回答，HTML、PY、JS 等文件是否可能包含恶意内容，是的。如果您在 PC 上运行此服务器，任何恶意内容都会对运行它的 PC 造成不良影响，是的。

好的，这就是完成的可怕的一面。让我们更客观地考虑一下这个问题。让我们想想这些文件是如何包含恶意内容的，更重要的是你能做些什么。

1. 作者故意将恶意代码写入文件

当然这是可能的，但在我看来不太可能。生产恶意软件的人正在寻找他们时间投资的回报。为您在 Fiverr 上的请求编写解决方案并包含恶意内容是一项巨大的投资，但回报却微乎其微。

另外，请记住，任何承包商/自由职业者都是在信任基础上建立自己的职业生涯的。如果他们被发现为客户编写恶意代码，那么他们的声誉就会受到影响。有一本关于你可以信任谁的好书？其中详细介绍了对共享商品和服务的平台的信任。

如果您确实想检查代码中的问题，那么我会使用静态代码分析器（例如 Fortify）和渗透测试。

2. 作者包含了一个包含恶意内容的开源模块

在我看来，这种可能性更大。过去曾出现过通过共享机制（例如 NPM）发布的模块包含恶意内容的示例。这里有几个例子：

• 恶意 NPM 包
• 比特币窃取者

好消息是，您可以很容易地检查已知问题。例如，由于您有 JS 文件，我假设存在对 npm 的依赖，您可以使用npm-audit检查依赖关系以获取安全建议。

总之，在您的位置上，我首先要确保代码使用的依赖项没有任何重要的安全建议。然后，如果系统足够重要，我会使用静态代码分析工具（例如 Fortify）来检查自定义代码。最后，对于一个面向公众的系统来说总是好的就是完成一个好的渗透测试。

这里的关键是考虑系统的风险状况，然后决定您需要/应该进行哪些投资以确保系统的安全性。这是一个获取敏感信息（例如银行/信用卡详细信息）的面向客户的系统，还是一个内部 Intranet 系统？第一个将需要更严格的安全检查，以确保您的客户安全。