什么是「不安全插件」?
不安全插件是对特定插件的一种标识。
在插件市场中,此类插件的名称右侧将会显示一个红色的感叹号:
一个插件被标记为不安全,需要满足以下至少一个特征:
-
该插件存在某些具体威胁,包括:
- 安装该插件会导致 Koishi 本体、官方插件和启动器无法正常运行
- 例如:boom,会直接炸掉 Koishi 进程
- 例如:nonebot,部分用户反馈可能以小概率导致 Koishi 无限重启
- 例如:petpet,会导致 Koishi 后续无法顺利完成升级
- 该插件对用户的设备存在已查明的侵害行为,例如在未告知用户的前提下盗取账号信息
- 令人欣慰的是,目前并没有这样的例子
- 安装该插件会导致 Koishi 本体、官方插件和启动器无法正常运行
-
该插件存在某些潜在威胁,包括:
- 使用了文档中没有说明或已明确废弃的 API
- 此类插件安装后能正常运行,但未来升级 Koishi 后将变得不可用,并可能转化为第 1 类情况
- 这样的插件很多,但并不是每一个插件都会标记为不安全,请参见下一节的说明
- 我们无法判断插件是否存在具体威胁
- 例如:某插件将其代码以混淆的形式发布,并且没有公开源代码
- 使用了文档中没有说明或已明确废弃的 API
-
如果某个插件的作者希望他们的插件以「不安全」的形式呈现在插件市场中,也可以手动在插件的
package.json文件中标注并发布- 我不知道有没有这样的例子,
你们为什么不发一个玩玩呢?
- 我不知道有没有这样的例子,