Tru*_*udy 5 security debian repository
假设有一个开源应用程序,其二进制文件以.tar.xz格式提供,但不是作为.deb包。Debian SW 存储库中有一个.deb显然是由 Debian 社区构建的软件包。
鉴于我信任应用程序本身,我是否也可以信任 Debian 存储库中的它的版本?Debian 团队声称他们“非常重视安全”。不过,实际情况如何呢?我能否确定安全团队会审查所有提交的包并验证代码在打包之前没有被更改?或者他们只在发生事件时做出反应(例如从存储库中删除包)?
(预见一个问题:使用该.deb包是有益的,因为它简化了更新和整体维护)。
Debian 安全团队在上传之前不会审查所有软件包,因为他们是一小群志愿者,并且存档中有超过 67,000 个软件包。我也不知道任何其他 Linux 发行版(或其他主要项目或发行商)有这样的过程。
然而,Debian 构建守护进程确实从源代码构建每个包,因此您可以下载源代码包(使用apt-get source PACKAGENAME)并验证 tarball 和补丁是否符合您的预期。所有源包都经过加密签名,存档也是如此,因此您可以确保上传的源中的包没有被修改。
Debian 还计划以可重复的方式构建所有软件包,以便您可以自己生成完全相同的软件包并验证没有任何内容被篡改。有一个可以重复构建和不能重复构建的软件包列表。
一般来说,Debian 被广泛认为是值得信赖的二进制文件来源,并且许多主要组织都使用它,尽管您当然必须做出自己的决定。如果您确实需要审核每个二进制文件和二进制包,那么您必须自己管理,因为我不确定任何规模的任何操作系统发行商都提供该服务。
| 归档时间: |
|
| 查看次数: |
514 次 |
| 最近记录: |