我在开发群里提问 有关宝塔安全问题，直接让我退群了。

Creling_2

我觉得楼主问的问题很到位
插件安不安全不是看人工审核，而是看宝塔面板给插件提供了怎样的api，代码一多，谁能保证看的过来？
宝塔要是提供了rm -rf的api，那我偷偷调用一次岂不是美滋滋。

宝塔本身关于api限权做了哪些工作，这才是楼主问题的核心，而不是轻飘飘一句”人工审核“

静候轮回

不念 发表于 2019-4-26 15:21
人吃人的世界

其实开发的初衷是好的 国外也有这种东西 宝塔积极意义还是有的 很多人也很感激有这么个东西

但是如果过于入侵用户的“领地” 令所有人感到很不悦 不安 是迟早的事

商业化可以理解 但有些底线千万不能越 毕竟 用户相信才使用——无论是免费版用户还是付费版用户 除了图个省事 低门槛还有份信任

如果继续这么下去 到最后

这里是分成的应用市场 那里是提醒注册宝塔帐号 那里是提示做大使推广返利 那里是条文字广告位 接下来横幅轮播 弹窗…… 都回来吗？那就不知道是装了个啥玩意了……

其实都清楚 免费版的用户就是想要个纯粹的面板就够了 这毕竟是我vps 我的服务器 为啥变成了宝塔的广告机？

我不用国产杀毒软件 但非得选一个
我相信很多人会和我一样选着火绒而不是3六0

ccf

国人的思维一直是：解决不了问题，就解决提出问题的人

win68

楼主自己写个面板吧，分享到论坛里，大家挺你

宝塔面板

涉及到安全的还是回应下比较好。
首先感恩对宝塔关注，然后列了几条回应下。
1.让您自己选择退群是因为你不是开发者，但你加的是开发者群，所以让你退开发者群应该是合理的行为。
2.截图不全，当你说担心安全问题，我们回复第一句话【我们比任何人都在意面板和你服务器的安全】，我们一直知道这块是做服务器软件的重中之重
3.插件当前是审核模式，所有上线到宝塔软件商店的插件都是经过我们最高级别技术审核了所有代码才会通过，这也印证了我们比谁都在乎面板的安全性。当前所有主流的涉及第三方开发的平台都是这样的审核机制
4.审核后的插件用户也是根据自己的需求及其他用户对这插件的评价来决定自身是否需要安装，完全自主选择。
5.第三方插件市场主要是为了丰富那些非大众需求但又的确存在的需求，宝塔做第三方市场的主要目的是为了解决这部分人的需求，收入绝绝绝大部分都是给第三方开发者，想要第三方开发者开发好的功能，自然要让别人能吃饱饭吧，我们也在尝试着让有能力的程序员有些额外的收入，甚至是新的工作方向。

蓝洛水深

不念 发表于 2019-4-25 09:50
对呀，哪里有绝对的安全呐，只能是相对的安全，
但不可避免的 插件开发者能力参差不齐，谁敢保证??？
所 ...

宝塔插件绝对有问题。
我曾经几台服务器同时感染木马，但是几台服务器是分开独立的，宝塔账号不一样，上面的网站不一样，甚至是国内外的服务器。
但是他们都染上了一种奇怪的病，会自己篡改网页head代码。
我排查了几天，实在找不到原因，最后想起

所有这些问题，都在开启了宝塔防篡改后出现的。
把宝塔防篡改关闭后，一切恢复正常！

xfspace

路人表示 nsfocus都不敢明确表示WAF绝对安全 搞安全得靠国外厂家


内地的甲方99% 中毒重装
欧美日的甲方90%会要求找出病毒源 坚持不重装

adminii

      安全问题，也是属于开发的一部分，比如PHP以前SQL注入，一句话。java的 struts2也一样存在漏洞。
不重视安全问题，以后有的为这个安全问题买单。
      

zhenghuawen90

这创始人安全意识太差了，不低调，别人搞得就是你。

heian9119

我们是做面板开发的，又不是做安全软件开发的。
你关注安全是找安全软件……

你不是个开发者，你肯定是来群里卖防火墙的，所以……你必须退群

Help

图片需要一个床，，，，，，，，，，

ccf

国产软件都是2B