Comments 16
Это чтобы клепать консольные приложения, которые легко распространять (через нагет) и деплоить?
Ага, как в npm.
Проблема в том, что npm дает заглянуть в исходники, чтобы понять что делает та или иная тулза, а тут предлагают распространять «черный ящик». ИМХО но не секюрно как-то.
Это относится к любым пакетным менеджерам и магазинам приложений)
любым пакетным менеджерам
npm распространяется с исходниками же?
- У nuget и maven есть пакеты-дублеры с исходниками. Т.е. вдобавок к пакету с dll файлами (или class файлами в случае Java) можно публиковать пакет с исходниками. См. для nuget и для maven.
- Уже давным давно известна атака, когда публикуется новая версия популярной библиотеки, а все, кто на неё ссылается (пусть даже косвенно) получают зараженный код. То есть если ваш проект ссылается на пакет A, а он ссылается на пакет B, то заразу пихают в новую версию пакета B, а в пакете A делают обновление в стиле "update dependencies" + пара исправлений. Вы обновляете пакет A (где нет ничего страшного — там всего лишь обновили зависимости и добавили пару фиксов), а с пакетом B к вам прилетает подарок
- А как вы изучаете изменения в проектах типа Angular? Там же немало кода, и он не всегда самый простой...
При желании никто не мешает обфусцировать исходный код, либо сделать прокси на бинарную библиотеку с аргументом «надо для скорости». При желании можно все что угодно.
В .NET-сборках слишком много метаданных.
Если их специально не обфусцировали, можно считать, что декомпиляцией получим те же исходники (за исключением оригинального форматирования кода, комментариев и имён локальных переменных).
Если их специально не обфусцировали, можно считать, что декомпиляцией получим те же исходники (за исключением оригинального форматирования кода, комментариев и имён локальных переменных).
А есть что-то живое из обфускаторов для .NET Core? Что-то что можно запустить например в Ubuntu или после чего можно обфусцированный софт в Ubuntu крутить?
«Core» относится к библиотеке классов. Формат у исполняемых файлов и байткод одинаковый. Берите любой обфускатор.
Данный форк ConfuserEx скорее жив, чем мертв: https://github.com/mkaring/ConfuserEx Правда .NET Core пока не особо поддерживается, но уже скоро будет.
Эм, это же дотнет, тут посмотреть исходник всего на шажок сложнее чем в npm. (Само собой в основном и редко бывает иначе)
Вдруг кто не знает — посмотреть исходник dll под .net можно через dotPeek
Предпочитаю Telerik-овый. Бывали случаи, когда dotPeek не мог прожевать файл, а телериковский справлялся без запинок.
Недавно подсказали крутой хинт: dotPeek позволяет узнать какие библиотеки с чем собраны (где использован .NET Core, где .NET Standard, а где .NET Framework) что очень спасает при проблемах с зависимостями
Уже жду утилит позовляющих для проектов и задавать свои «виртуальное» глобальные окружение как в Virtualenv Python для решения проблем разных версий утилит в зависимости от проекта.
Sign up to leave a comment.
.NET Core 2.1 Global Tools