我不明白你在第 2 点中说什么 - 第一句话,“测试不需要测试”似乎与第 29 点相矛盾。
为了跟进我对安全是一场竞赛的评论,我知道安全公司 Coverity(以及可能其他供应商)运营一项服务,开源项目可以通过该服务扫描其代码中的漏洞。我想知道他们是否有一种机制来识别攻击者试图提交来自他们希望攻击的开源项目的代码(可能是混淆的并与不相关的代码混合在一起)的行为,就好像那是他们自己的项目一样?
我不明白你在第 2 点中说什么 - 第一句话,“测试不需要测试”似乎与第 29 点相矛盾。