如何确定应用程序在 Ubuntu 上使用是否安全

Question

我对将 Ubuntu 作为我的日常驱动操作系统还很陌生。我的问题是如何确定应用程序是否是使用 apt 命令从信誉良好的来源下载的？我不确定在哪里可以找到有关软件包的信息以及如何验证所述软件包的作者。我已经安装的软件包使用一个驱动器的 API，并被一个驱动器识别为未经验证的发布者（编辑：我回去发现 Onedrive by abraunegg 已验证）。话虽这么说，很多人都高度评价这个通过 apt 命令安装的应用程序，而无需添加额外的存储库来进行搜索。

到目前为止，我有一个朋友向我提到，开箱即用的 apt 存储库管理得相当好。如果我想维护一个完全安全的环境，我就不应该添加更多存储库以便于搜索。感谢这个社区可以为我提供的任何信息，很抱歉提出这样的问题，我只是不确定该向谁寻求更多信息。

Answer 1

让我们向上游工作，看看这个软件来自哪里。

\n

首先，我们向 apt 询问一些基本信息：

\n

$ apt show onedrive\nPackage: onedrive\n...\nSection: universe/net\n...\nMaintainer: Ubuntu Developers <ubuntu-devel-discuss@lists.ubuntu.com>\nOriginal-Maintainer: Sebastien Badia <sbadia@debian.org>\nBugs: https://bugs.launchpad.net/ubuntu/+filebug\n...\nHomepage: https://github.com/abraunegg/onedrive\n...\nDescription: folder synchronization with OneDrive\n OneDrive is the cloud storage system of Microsoft. This package provides\n the command line client specialising in synchronizing with OneDrive cloud\n storage.\n

\n

接下来，让我们检查一下 Ubuntu 软件包报告的错误：https://bugs.launchpad.net/ubuntu/+source/onedrive

\n

\n

• 结果：仅报告了两个错误，这两个错误似乎都不是安全问题。

  \n

  

  \n
\n

\n

现在让我们上游到 Debian： https: //tracker.debian.org/pkg/onedrive

\n

\n

• 结果：大量维护人员采取行动。新的上传、测试、向后移植。不需要采取严肃的行动。这些都是好兆头。

  \n

  

  \n
\n

\n

让我们看看 Debian 的错误列表：https://bugs.debian.org/cgi-bin/pkgreport.cgi ?dist=unstable;package=onedrive

\n

\n

• 结果。报告的错误很少，似乎没有安全问题。

  \n

  

  \n
\n

\n

最后，我们上溯到 GitHub 上的源项目： https: //github.com/abraunegg/onedrive

\n

\n

• 结果：项目活跃，贡献者众多，正在添加新工作，报告了 16 个看起来相当典型的“问题”（功能请求和错误）。

  \n

  

  \n
\n

\n\n

因此，结果是这个软件来自一个看似健康的上游项目，在 Debian 上得到积极维护，并且（显然）在任何级别都没有报告与安全相关的错误。

\n

它\xe2\x80\x99 与几乎所有软件一样安全，无需进行手动代码审核或自己编写。但您可以通过这种方式检查出处，因为它是开源软件。

\n