如果有人提交“恶意软件”nuget 包怎么办

没有中央审查过程 - 你是对的。对于从任何源获取编译的二进制文件时，应保持类似的谨慎。有人可以将恶意代码放在任何公共网站(sourceforge，cnet等(上。

安全性是将风险降至最低，而不是消除风险。如果你的数据/信息至关重要，你应该自己审查软件(或者让知识渊博的人来做(。您不仅可以下载恶意代码，还可能向软件引入一个不是包编写者预期的漏洞。这里的负担在最终用户身上。此外，仅仅因为软件被"审查"并不能使其安全。这是一篇关于提交给AppStore并获得批准的恶意软件的文章。这不是一个孤立的事件。

如果这是针对您具有非机密数据的个人/小型项目，如果您坚持使用具有许多评论的相对广泛使用的软件包，我不会太担心。社区可以帮助警察处理这类事情，因为每个分机上都有一个"报告扩展到Microsoft"链接。