我在新闻中读到了有关感染 Android 操作系统的所有恶意软件的消息。该恶意软件位于 Google 的 App Store 中,人们正在不知不觉中下载并安装它。
据我了解,我可以安全地从 Ubuntu 的主存储库下载(这样做我不会感染恶意软件),因为 Canonical 工程师会审查该软件。但是其他存储库呢,尤其是 Universe 存储库呢?Universe 存储库是否接受任何形式的审查以防止恶意软件?是否建议避免使用 Universe 存储库,以免在不知不觉中从中下载恶意软件?
我读过 PPA 特别危险,因为它们没有经过审查。但是,我假设使用 Google Chrome PPA 是完全安全的。
因此,如果我只使用 Main & Universe 存储库和 Google Chrome PPA,我会不会在不知不觉中下载恶意软件?
如果 Ubuntu 确实像 Mark Shuttleworth 预测的那样获得了数亿用户,Ubuntu PPA 会不会成为 Ubuntu 的恶意软件问题,就像今天谷歌的 App Store 对 Android 一样?
在对问题的评论中Ubuntu 是否故意污染其二进制文件以帮助 NSA?, Jorge Castro 指出 debian 正在考虑使用可重现的构建。他们说
为什么我们需要可重复的构建?
- 独立验证二进制文件与源打算生成的内容相匹配。
- Help Multi-Arch:相同的包共同安装(因为他们需要每个匹配的文件都是字节相同的)。
- 能够为没有“调试包”的包生成调试符号。