小编tes*_*r12的帖子

我不确定 Ubuntu 包安全的当前程序是什么。

当某些东西最终出现在 Ubuntu 包存储库中时，该包是否由一个受信任的中央团队审核，如果是，会进行什么级别的审核？

我对是否检查包裹感兴趣：

• 定期匹配已知漏洞/CVE（例如，实时通知包维护者 CVE 版本，以及删除了未修补（由供应商）CVE 的包）。
• 明显的恶意代码（如反向shell、随机shell代码、木马）
• 代码质量差（例如意外的命令注入漏洞）
• 对所有代码的漏洞进行全面安全审计