基于， https://www.v2ex.com/t/936739， 请问下直接 git clone 项目下来，然后再项目里安装，“这情况”是否可以避免啊？其实，还没有搞明白什么情况？ 求科普下，

这就就是第三方加速源被黑了，篡改里面的正常程序，文件可以计算 sha256 与官方发布的 sha256 检查是否一致

@dode 老哥（不要口震啊,玩笑，请不不要介意）
嗯 sha256 对比的了，

同时想了解下， 直接从 gh 克隆下来， 然后先改为全部 https, 最后安装， 是否可以避免这些“第三方”不必要的麻烦呢？ 谢谢

第三方源服务器数据被篡改，HTTPS 资源一样可以被修改，甚至 HTTPS 证书都会泄露

@dode gh 克隆项目下来安装， 还是需要经过第三方源？
也就是有人盯上了这个项目，知道它从那一个第三方源，然后从它的源头下毒？

感觉这个项目还是蛮方便的， 如果这样搞的话，有办法根治吗？需要自己找信的过的源？这一来， 安装脚本是否就废了啊？

从 github 克隆，下载项目都没有问题的，安全性由作者自己控制

用 docker 就自带校验，隔离运行也更安全

@mohumohu 好人做到底？ 多说两句， 来个项目链接？
老哥桃花满天下

@xiaoxiao168 这个不需要具体的项目，你学习使用 docker-compose 就可以了。比如下面是一个简单的 lnmp 的 dockers-compose 配置：
```yaml
version: '3'
services:
nginx:
image: nginx:latest
ports:
- 80:80
volumes:
- ./nginx.conf:/etc/nginx/nginx.conf
- ./html:/var/www/html
depends_on:
- php
networks:
- lnmp-network

php:
image: php:latest
volumes:
- ./html:/var/www/html
networks:
- lnmp-network

mysql:
image: mysql:latest
ports:
- 3306:3306
environment:
- MYSQL_ROOT_PASSWORD=your_mysql_root_password
- MYSQL_DATABASE=your_mysql_database
- MYSQL_USER=your_mysql_user
- MYSQL_PASSWORD=your_mysql_user_password
volumes:
- ./mysql:/var/lib/mysql
networks:
- lnmp-network

networks:
lnmp-network:

```

@mohumohu 给力， 可以也来个阿帕奇的吗？ 感谢

@xiaoxiao168 配置照抄没有用的，你只需要理解 docker compose 的写法，然后选择合适你的 docker 镜像就可以了，apache 也有对应的 docker 镜像。你都用 oneinstack 这样的手动脚本了，使用 docker 镜像也是配置文件+数据。