在开源代码中 rm -rf 是为了什么？

@HughZadora 稍微捋一捋：
1. 开源作者错误的配置了 ci，导致 pr 的自动构建会推送到使用 cannery 分支的用户设备上运行，由此产生了任意代码执行漏洞。
2. 攻击者利用该漏洞执行恶意代码，破坏用户设备。
3. 由于 GPL 协议无任何保证风险自担所以错误配置引起漏洞的开源作者无需承担责任。
4. 但这不意味着攻击者无需承担责任，利用 GPL 协议分发的软件的漏洞进行攻击难道可以免责么？
5. 如此明显的破坏、入侵计算机系统，被攻击者损失者应该直接报案。

@bwt 不是所用用户，只有 canary 版本的

@batkiz 对啊，所以他现在被骂的狗血淋头并没有什么问题啊

测试漏洞不要使用破坏性代码

@learningman 您是如何得出「我认为“他现在被骂的狗血淋头”是有问题的」这一结论的呢？

这个过分了

@runze 看了， 有人恶意 PR，被 CI 推送，是 CI 管理者的问题。

😄pr 直接 ci 推送给用户，脑洞有点大

利用开源项目 CI 的配置缺陷提交恶意代码破坏用户设备。
这已经犯罪了吧。

然而这样修改 CI 设置没有任何用处，CI 只会读取当前的配置，这个配置也是提交者可以修改的。

https://github.com/ElderDrivers/EdXposed/issues/549

@laike9m #19 他们是给了个 Cannery 通道，让协作者能方便的拿到自己 PR 构建的 Artifacts

未被 merge 的，包含不合适代码的 PR 难道 github 上还少吗？有问题的难道不应该是为什么这样子的代码能进到用户手机上去吗？

用户该反思下自己为什么要在主力机器上用 nightly 的 channel，开发者该思考下 channel 的配置了。。。


p.s. 别说这是 CI 的漏洞，CI 所做的事情是完全符合预期的。难道 CI 把包打出来就能自动推到用户手机上？

没有 merge 的话也会被 CI 构建吗

代码都不 review ?

@ByteCat
AppVeyor 默认情况构建 tags 和 pr
问题不在 ci 而是推送策略问题 所有 artifact 都推送到 Canary 这就成问题了

rm 能改善系統流暢和電池壽命，

@CheekiBreeki 🐶

不会看代码，会不会是其中一个功能就是清除数据，重置系统？

@q409640976 草

@murmur 看他博客 友链 应该很好找出来