art*_*bot 3 security canonical
一周前问微软或类似的问题会让我被贴上偏执狂的标签,而问这个关于 Ubuntu 的问题似乎很愚蠢,近乎冒犯。
然后我们发现有一个“每年 250 美元的美国计划与科技公司秘密合作,将弱点插入到产品中”。
这是(邪恶的)天才:如果您将秘密弱点插入到软件或服务中,例如 SSL 密钥生成,那么您入侵窃取数据的工作就会变得容易得多。事实上,这就是为什么这些机构现在显然可以即时解密相当多的 SSL 流量。
我感到自鸣得意,认为开源可以挽救这一天:很难引入在每个人都看到的情况下做一些愚蠢事情的代码(在闭源世界中要容易得多)。尽管这仍然可能发生,例如Debian 的 2008 年大规模 SSH 密钥失败。
那时,slashdot 的人们在问是谁引入了没有人注意到的变化并且使操作系统保持开放状态。
似乎有了 2.5 亿美元的预算,你就有了多种选择来支付某人试图潜入未被注意的漏洞,要么公开,要么像 Debian 一样,更内部。这 2.5 亿美元已被用于贿赂公司。那么规范呢?我喜欢 Ubuntu 并且一直信任它,但知道他们是 (a) 一家公司和 (b) 缺钱,这让我想到:实际上,他们处于非常有利的位置,可以进行如此邪恶的竞标。我的意思是将您所有的本地搜索发送到亚马逊与他们所能做的相比似乎没什么,毕竟,正如沙特尔沃思所说的我们有根!
在德国政府最近发现,他们不能相信Windows 8的机器,将他们移动到Ubuntu?(无论如何,他们都偏向于 Debian。)
我在一个挑衅的庄园里提出这个问题,但我相信它是有效的;我不是在寻求意见,也不是咆哮,而是想看看是否有人可以断然回答“否”(并用证据支持)。
尽管这是一个有效的问题,但我认为无法知道这些做法是否发生。毕竟,设计到软件中的隐藏漏洞的目的是让它们保持隐藏状态。
不过,有几件事需要考虑:
坦率地说,Ubuntu 依赖于许多不同的软件。老实说,我认为故意污染不符合 Ubuntu 精神。话虽如此,谁知道...