AIB*_*AIB 35 software-center software-installation
在 Ubuntu 软件中心,程序有不同的部分
我知道所有这些都是开源的;但是 Canonical 是否进行了任何验证过程以确保它们没有任何间谍软件或恶意软件?
我想知道是否有人有时间查看所有这些(截至目前大约有 2355 个程序),每个版本的软件代码!
我很担心,因为我经常从软件中心安装相当不受欢迎的软件:)
Oli*_*Oli 27
是否有确保没有恶意软件的流程?号有根本没有保证。
然而,有几种机制可以尝试检测它,但虽然我不想过于悲观,但说实话,你可能不像你想的那么安全。
首先必须将项目添加到 Ubuntu。正如 Rinzwind 所说,在此阶段进行检查,但这实际上只是 Ubuntu 中软件包生命周期的冰山一角。
长期包的第一道真正防线是他们的项目维护者。这些人照顾他们的项目并接受补丁来改进它们。他们是人。他们会犯错,也会错过一些事情。有些人可能很懒。
通过在恶意软件中包含真正的改进,坏人可能会偷偷溜走一些恶意软件。
如果项目的维护者承认了一些不好的东西,保存一个成功的审计,那么代码很可能最终会出现在 Ubuntu 用户的机器上。
安全审计是第二步。这是检查代码并在监视器上运行它以检测坏事。据我所知,没有专门负责安全的官方 Canonical 团队,但有两个社区团队(Ubuntu Security 和 MOTU SWAT)处理它们之间的所有包。
只有在每一行代码在发送给用户之前都经过正确检查时,审计才真正起作用。这对于我们正在讨论的代码量和更新数量来说并不实用。这样做会花费大量的时间和金钱。
在开源世界中有一个假设,仅仅因为有人可以查看源代码,他们就可以查看。保持这种精神是非常危险的。
安全修复主要是对人们发现和披露漏洞的反应。如果有人透露他们发现的漏洞会怎样?
其他“最终用户”报告问题是最终真正的检测机制,老实说,好的恶意软件不会让用户知道存在问题,直到为时已晚而无法产生影响。编写好的恶意软件不会翻转您的屏幕或窃取您的所有带宽,它会在后台驻留,记录您所有的银行详细信息,然后将它们全部发布到某个匿名转储处。
整个过程依赖于上游项目来维护自己的安全级别。如果有人从 Gnome 计算器的维护者身边溜走,很可能会被其他人错过。安全团队也永远不会怀疑它。
值得庆幸的是,大多数维护者都擅长他们的工作。他们知道他们的代码库,如果他们不理解补丁,他们会以他们不够清楚为由拒绝他们。
在风险评估方面,通过使用不那么受欢迎的东西,检查代码的眼睛可能会减少。但同样地,提交可能更少,所以只要维护者不懒惰(或邪恶),他们可能有更多时间来处理每次提交。很难确切地说出您面临的风险有多大。开源软件的安全性取决于有能力的人查看代码。
相反,封闭源项目(在合作伙伴和购买回购中)完全未经社区审核。Canonical 可能有一些源代码访问权限,但坦率地说,我怀疑他们是否有资源进行彻底的审计,即使他们有源代码访问权限并希望这样做。
与 PPA 类似,除非您想自己深入了解来源,否则您获得的保护很少。用户可以将他们喜欢的任何内容添加到源代码中,除非您打算自己检查(并且您能够检测恶意软件),否则您就像一只被狼包围的羊。人们可以报告糟糕的 PPA,但发生的事情取决于其他人检查和确认问题。如果一个大站点(例如 OMGUbuntu)推荐了 PPA(就像他们经常做的那样),那么很多用户可能会遇到问题。
使问题更加复杂的是,Linux 用户的较低市场份额意味着可供我们查找不良代码的软件较少。我不想这么说,但至少在 Windows 中,你有几十家公司每个工作日都在花时间研究不良软件的工作原理,如何检测它以及如何删除它。那是一个源于必要性的市场,虽然我也不想这么说,但这里的情况可能会在好转之前变得更糟。
对于安全偏执狂,我不久前写了一篇短文:Linux 并非无懈可击。不要说是。. 将东西潜入存储库可能不会成为分发恶意软件的黑客的主要攻击媒介。他们更有可能(IMO)利用用户的贪婪和愚蠢来让他们安装受感染的 .debs。
Rin*_*ind 25
是的。软件包由社区检查(因此 1 可能会安装一些恶意软件,但该消息会在所有用户中迅速传播)。
应用程序需要遵守许可中列出的非常严格的规则。
新软件包的 wiki 页面有更多信息:
穿过MOTU
尚未在 Ubuntu 中的软件包需要额外的审查并经过特殊的审查过程,然后才能上传并获得存档管理员的最终审查。有关审查过程的更多信息,包括将应用的标准,可以在代码审查者页面上找到。鼓励开发人员在提交审查之前使用这些指南检查他们自己的软件包。
要接收更高质量的错误报告,请为您的包编写一个apport 挂钩。
那就是说:总体思路是。如果你发现可疑的东西,你可以在启动板、askubuntu、ubuntuforums 上报告它,有人会捡起来。
可能发生的情况是恶意软件的创建者制作了一个有效的包,让它被接受,然后进行添加恶意软件的更新。许多人中的至少一个总是抓住这一点,他/她会在某处报告这一点。它不会以这种方式进入很多机器。(将它安装到我们的机器上的努力对于潜在的回报来说太过分了:瞄准 Windows 机器要容易得多)。
大黄蜂出现严重错误的示例。有人错过了一个空间, /usr 被删除了……有些人受到了影响,1 发布了带有红旗的警告,现在我们都知道了。Creator 修复了它(比光速还快),但对几个系统造成了损坏。这是一个错误,不是故意的,所以它可能发生;)
我想没有人可以向你保证这一点。您必须检查将要添加到 Debian 软件包索引中的软件包发生了什么,但我认为您应该能够将一些邪恶的东西放入其中。
您可以设置虚拟机并在那里试用该软件,然后您可以查看网络流量,例如iftop查看此应用程序是否与家庭通信。很有可能你永远看不到任何东西,因为它隐藏得太好了。
开源并不意味着安全,仅仅因为您可以查看代码并不意味着有人这样做了。
| 归档时间: |
|
| 查看次数: |
3730 次 |
| 最近记录: |