23、应用安装程序的安全性分析

应用安装程序的安全性分析

1 引言

在线软件仓库是软件分发的重要途径，每天有大量用户从这些仓库下载和安装软件。然而，这些仓库的操作和应用安装程序的特性可能带来安全风险。本文将对在线软件仓库的操作、应用安装程序的特性进行分析，并探讨其中存在的安全问题。

2 在线软件仓库概述

在线软件仓库是非常受欢迎的网站，例如 Softpedia 在 Alexa 的共享软件网站列表中排名第一，每天有大量的访问和下载量。以下是一些常见软件仓库的相关数据：
| 软件仓库 | 上传者 | 审核者 | 赞助排名 | 服务器 | 安全检查 |
| — | — | — | — | — | — |
| FileHorse | 用户 | 网站 | ✗ | 内部/外部 | ✓ |
| Cnet | 用户 | 网站 | ✓ | 外部* | ✓ |
| FileHippo | 网站 | 网站 | ✗ | 内部 | ✓ |
| SourceForge | 用户 | ✗ | ✗ | 内部 | ✓ |
| Softpedia | 用户 | 网站 | ✗ | 内部/外部 | ✓ |

大多数仓库添加新软件的过程通常由用户填写表单发起，然后由网站管理员审核。不过，各仓库虽宣称保证软件质量，但都未明确具体的指导方针。例如，FileHippo 不接受用户请求，由其管理员自行决定纳入哪些应用；Sourceforge 可直接从 Github 导入项目。

在排名方面，多数仓库允许软件根据下载量自然流行，但 CNET 允许开发者赞助应用以提升排名，所以其排名第一的应用不一定是最受欢迎的。

在文件存储方面，多数有