要是 get.acme.sh 这种网站被入侵了，是不是很多服务器都会遭遇

希望黑客可以良心地增加一个 rm -rf /

DOCKER 同理。

curl -fsSL https://get.docker.com -o get-docker.sh
sh get-docker.sh

所以可以的情况下，不要直接甩给 shell，下载下来先人肉看一眼

相信未好大生, 因最近到不少 Supply chain attack.

e.g.
https://securelist.com/operation-shadowhammer-a-high-profile-supply-chain-attack/90380/

https://blog.trendmicro.com/trendlabs-security-intelligence/mirrorthief-group-uses-magecart-skimming-attack-to-hit-hundreds-of-campus-online-stores-in-us-and-canada/

不过 acme.sh 也资瓷从 github 的链接安装，感觉会安全一些，除非 github 账号泄露了。

@hgc81538 供应链攻击最大的目标应该是 nodejs，网上一个 helloworld 都要装几百库，说不定其中一个就是有后门的。

@mytry , https://blog.npmjs.org/post/180565383195/details-about-the-event-stream-incident

目前已经有很多供应链投毒的案例了，灰产安全意识是远远高于普通人的，所以我觉得完全有可能被投毒过

以前发布了假冒的 uglifyjs （中间没有 -）还有几十万安装量，没留个后门亏大了~

@mytry #6 去年 NodeJS 的那几个瓜是真的甜（逃

最危险的是 node.js -> npm install
所以我 npm install 都在 docker 里面执行的

怎么不劫持 example.com

所以，不要图方便，什么一行代码完成安装，一个脚本搞定一切。
除非你先把那一行代码做的所有动作全部搞明白，或是把脚本先下载下来一行一行审查过。
楼上说的 docker 官方是有从源安装的方式的，检验 gpg key，几乎不可能被篡改，除非从一开始下载的 public key 就是篡改过的，或是遭到攻击的时候百度一下，告诉你关掉校验就能成功之类的鬼话……

有没有人推荐一个 github 的非授权代码变更通知, 或者类似的工具.