Generell fråga om github project och specifikt om yt-dlp ?

Hallå, börjar med yt-dlp som finns här: https://github.com/yt-dlp/yt-dlp
virusscan: https://www.virustotal.com/gui/file/...dae229a7e3a0dc

1. Är detta projekt - och artefakterna dvs. yt-dlp.exe m.fl. som listas under "RELEASE FILES" - 100% säkert att ladda ner och köra?

2. Är precis alla filer som finns i detta projekt - och som går att kompilera - open source, eller finns det någon liten del som är "hemlig" och som då har större sannolikhet att vara skadlig?


Avslutar tråden med mer generella frågeställningar, då jag har dålig koll på github bl.a.

3. Är alla projekt som finns här, 100% open source, eller kan vissa projekt ha kod/komponenter som är "hemliga" ?

4. Jag förutsätter att github har eget antivirus-skydd: Är det i princip omöjligt att källkod eller färdigkompilerade filer på plattformen innehåller skadlig kod? Eller är det mer att det krävs att någon rapporterar, någon undersöker, och att skadlig kod eventuellt bekräftas och städas bort av github själva?

5. Hur pass effektiv är te.x. virustotal.com att hitta skadlig kod? Jag vet att det för många filer blir false positives, men hur enkelt/svårt är det att exempelvis koda ett program som är skadligt, men som listas som grönt på denna sida?

6. Tips på andra antivirus sidor eller program eller tillvägagångsätt för dessa typer av frågeställningar? Är det säkrast att köra sandbox grejjer så fort det är en fil man inte kodat själv man vill köra?

Oftast så anges vad för licenser programmen/koden har. Det finns också "hemliga" projekt men de kan du inte ta del av. Om du inte har tillåtelse att ta del av dem då såklart.

Jag har kört yt-dlp många gånger och aldrig hört att det skulle vara illa.

Har kört YT-DL & YT-DLP sedan lansering och ja det är säkert. Kombinera med script som kör om och om igen med --list så kan du rippa hela kanaler och ladda ned senaste uppladdningar 1 sekund efter dom laddats upp.

Nej. Men väldigt nära. Ingenting är 100% säkert, men yt-dlp får nog anses trovärdigt vid det här laget. Som flera andra säger, det har det väl aldrig rapporterats några problem? Det har iofs några CVE:s associerade till sig, men det är ju av typen säkerhetsbrister, inte skadlig kod.


Intressant fråga i och med att du valde just yt-dlp. Om du läser licens-filen så ser du att de valt the Unlicense-licensen. Den släpper koden till "the public domain". Kruxet är bara att public domain inte existerar i alla rättsväsenden - bl.a. inte det svenska. Å andra sidan är det högst osannolikt att det någonsin kommer att ställa till besvär. Som referens kan t.ex. nämnas att SQLite gör samma sak, och det finns installerat, i multipla kopior, på nära nog varje dator, mobiltelefon, router, TV, elektronisk grunka med kräm nog att köra Android i hela världen, och ingen bryr sig nämnvärt.


Det behöver inte vara open source. Det finns de som t.ex. bara distribuerar kompilerade binärer via GitHub. Och även om koden finns där betyder det inte nödvändigtvis att du får använda den hur du vill. Som kalkryggar sa, läs licensen.


Ingen aning om hur GitHub hanterar virus, så tänker inte svara på det mer än att det så klart är fullt möjligt att konstruera ett "skadligt" program som inte upptäcks av ett antivirusprogram. Vad som är "skadligt" är i slutändan en bedömningsfråga. Personligen betraktar jag Windows som skadlig kod. Jag tror de flesta antivirusprogram släpper igenom det.

Ja. All kod kompileras öppet i github actions, du kan se detta här:
https://github.com/yt-dlp/yt-dlp/act...ws/release.yml

Du kan reproducera förfarandet lokalt med en lokal github actions runner.


Alla filerna är tillgängliga, ja, annars skulle de inte kunna kompilera öppet, se mitt svar på fråga 1.

Men Open source är en licens form. Att koden finns tillgänglig är endast "source available". Du verkar se det som synonymt, vilket det inte är.




Vad är "här"? Om du menar github så nej, opensource är en licenstyp. Se respektive projekt för deras licenser.

Om du menar projektet yt-dlp, så ja, så vitt jag kan se.


Det borde du inte förutsätta. En kan ladda upp vad som helst på github. Scanna efter virus istället med t.ex virustotal som du har gjort här.


Det beror på motivation och kunskaper. Det går att lura alla antivirusprogram så klart.


Ja. Kör aldrig kod som du inte litar på.

Om du måste, så kör koden i en virtuell maskin.


Jag vill tillägga att yt-dlp är ett välkänt program (94k stars på github är VÄLDIGT högt) och det finns ingen anledning att undvika just detta.

Jag har använt det i några år, sedan google började kriga med youtube-dl.