这是一个很大的问题，这里有很多有效的答案。首先，我想指出开放源代码可以保护系统中固有的恶意代码，因为从理论上讲，许多人正在审查在更大，更广泛使用的项目上编写的代码，并且根据莱纳斯定律（“有足够的眼球，所有漏洞都很浅”），所有攻击媒介和漏洞都将被发现并缓解；但是，对此有一个明显的警告：那些审稿人必须既有能力又要高度警惕，以获取这种总覆盖率，但这并不总是切实可行的。

关于感染项目文件，它们确实可以被感染。如果您阅读此write up，他们会说项目文件已被感染，并且确实是章鱼扫描仪主要攻击媒介的一部分。

关于如何保护自己的项目，第一个建议是保持警惕并为您的开发设置适当的保护（即受保护的开发/主要分支，仅允许特定人员推动和合并等）。根据您拥有的资源，您还可以通过Github Actions或等效的方式设置部署服务器，以用于扫描项目的病毒源或其他可能被认为具有危险性的模式的任何源代码控制系统Clamav之类的工具。尽管这个特定问题并不特别流行，但在维护安全的部署部署供应链上进行大量投资可能远远超过其应有的价值，而简单的警惕，一致的代码和项目审查可能就足够了。

tl;博士 为允许执行任务的人员设置适当的分支保护和权限，并确保对主要开发人员和维护人员的源代码和项目文件进行一致的审核。