Python 、C#、Node.js 有像苹果 App Store 一样每个包都经过人工审查的，可以放心随便安装包的安全仓库吗？

所以 Node 创始人另辟蹊径，搞出了 Deno ，手动授权

安全性是有代价的，
要么像你说的花钱找人审核；
要么从运行时下手，Rust 内存安全，但是开发者的心智负担大。
Deno 权限安全，但是不完全兼容 npm 生态，但是你看有多少迁移过去的，Deno 迫不得已现在也选择兼容生态了。

@drymonfidelia #16 今年油价多收一笔税，食品支出也开始征税你都受不了，指望某几个大公司负担全世界程序员要用的东西就是空谈。

我说了，你得先是切格瓦拉这样的国际主义者，才能叭叭大公司怎么怎么样，推己及人。

@drymonfidelia #16

我说了，你就是想找这样一个傻瓜给你担责，问题是没人愿意做这个傻瓜，你可以自己想想，你自己愿不愿意做这个傻瓜，看看 20 年的历史，没有愿意做傻瓜。

1. 对开源世界来说，广泛使用、被大团队使用就是比较好的方法，因为相对来说测试和 review 更多，更容易蹭到好处而不是蒙在鼓里
2. 你也不要觉得 AppStore 的审查是绝对安全的，苹果跟 ios 用户有一些共同利益但不完全一致，例如你果就从来没管过摇一摇广告，以安全为名不允许 APP 用 JIT ，强制用 WebKit
3. 理论上可以买有商业支持的库，但这跟安全没啥必然关系，不过当是付费背锅应付老板是可以的

有种说不上来的感觉，就像是一个特意给 v 站引流的技术型营销人员的引导性提问

有人审核≠随便装，说的苹果上就没有恶意软件一样，xz 那个案例原作者还看过的，不照样靠精心构造的代码完成了投毒？要不是代码有 bug+有安全专家正好发现问题，根本发现不了，一堆大神都难以发现的问题，你去指望可能连客服小祥水平都没有的客服去发现这种问题？而且这工作量得有多大？
还有，op 不叫 Luv Letter 有点可惜了

https://my.diffend.io 就是啊，ruby 和 npm 都有，一个众筹的版本审核网站，其中 ruby 的 gem 由于相对数量较少（代码行数和 gem 发布数量），审核力度高一点，安全性略好一点。

你的要求只有骗子能满足

就算有，价格你可能接受不了，至少 10W 一年吧

@COW 可以这么说，历史回答里成套的问题，AI 都没它问的多，学的广。

每个人都是自己（代码）健康的第一责任人

@maix27 开源协议最常见的一条就是 no warranty. 自担责任

你自己去审查呗。你吃的每一口饭每一粒米是不是要审查一遍，要不要去审查审查 Windows 源码

伸手党见得多了，这么过分的还是第一次见。

想放心使用，那就使用三五年前的版本。时刻注意严重漏洞，无法打补丁的话，就要用防火墙。

本来还想反驳一下的，算了，还是顺着 OP 的意思来：

不讨论成本，即使是多了一个大公司来审核，你怎么就确定审核的大公司不会作恶/投毒/被利用呢？

vscode 、intellij 的插件有人工审查吗？建议先熟悉用记事本写代码

另外，App Store 审查人员就不会发错？有没有审查审查人员的筛查人员？

引入开源库都要自己审核安全性，这就是个常规流程。

做不到就别什么库都瞎引。

@drymonfidelia 你做一个这样的仓库，保证每个 library 都是被审查过的，提供会员订阅服务。说不定就财务自由了。