问题描述
在Ubuntu软件中心,程序有不同的部分
-
由Ubuntu提供
-
Canonical Partners
-
购买
我知道所有这些都是open-source;但Canonical是否有任何验证过程确保它们没有任何spyware或malware?
我想知道有没有人有时间看看所有这些(现在的2355个程序),软件代码也适用于每个版本!!
我很担心,因为我经常从软件中心安装相当不受欢迎的软件:)
最佳解决办法
是否有确保没有恶意软件的流程?不,没有任何保证。
然而,有几种机制可以尝试和检测它,但我不想得到太多doom-and-gloom,如果我们诚实,你可能不像你想的那样安全。
-
首先必须将项目添加到Ubuntu。正如Rinzwind所说,在这个阶段进行检查,但这真的只是冰山的一角,就是Ubuntu中包的生命。
-
长期包的第一个真正的防线是他们的项目维护者。这些人会照看他们的项目并接受补丁来改进它们。他们是人。他们犯错误,错过事情。有些人可能很懒惰。恶意软件可能会通过包含真正的改进以及恶意软件来偷偷摸摸一些恶意软件。如果维护人员在项目中接受了不好的事情,保存成功的审计,那么代码很可能最终会出现在Ubuntu用户的机器上。
-
安全审计是第二步。这是检查代码并针对监视器运行它以检测不良内容。据我所知,没有一个专门用于安全的官方Canonical团队,但有two community teams(Ubuntu Security和MOTU SWAT)处理它们之间的所有包。只有在每行代码在发送给用户之前进行了适当的检查时,审核才能真正起作用。对于我们正在讨论的代码量和更新数量,这实际上并不实用。这样做需要花费大量的时间和金钱。在开源世界中有一个假设,只是因为有人可以查看源,他们有。这是一个非常危险的维护道德。安全修复程序在很大程度上反映了人们发现和泄露漏洞的情况。如果有人透露他们发现的洞,会发生什么?
-
其他”end users”报告问题是最终的真实检测机制,说实话,好的恶意软件不会让用户知道有问题,直到它为时已晚,无法发挥作用。写得好的恶意软件不会翻转您的屏幕或窃取您的所有带宽,它会在后台坐在那里,记录您所有的银行详细信息,然后将它们全部发送到某个匿名转储。
整个过程依赖于上游项目来维持自己的安全级别。如果有人从Gnome计算器的维护者那里溜了一些东西,很可能会被其他所有人遗漏。 security-team永远不会怀疑它。
值得庆幸的是,大多数维护者都擅长他们的工作。他们知道他们的代码库,如果他们不理解补丁,他们会拒绝他们,因为他们不够清楚。
在风险评估方面,通过使用不太受欢迎的东西,检查代码的眼睛可能更少。但类似地,提交可能更少,因此只要维护者不是懒惰(或邪恶),他们可能有更多时间来处理每个提交。很难确切地知道你有多大的风险。开源软件的安全性取决于有能力的人查看代码。
相反,封闭的源项目(在合作伙伴和购买回购中)完全未经社区审核。 Canonical可能有一些源访问权限,但坦率地说,我怀疑他们有资源进行彻底的审计,即使他们有源访问权并且想要。
与PPA类似,除非您想亲自潜入源,否则您得到的保护非常少。用户可以将任何他们喜欢的内容添加到源代码中,除非您自己检查(并且您能够检测恶意软件),否则您就是被狼群包围的绵羊。人们可以报告糟糕的购电协议,但发生的事情取决于其他人检查和确认问题。如果一个大型网站(例如OMGUbuntu)推荐PPA(他们经常这样做),很多用户可能会遇到问题。
为了解决这个问题,Linux用户市场份额越低意味着我们可以利用更少的软件来追捕糟糕的代码。我讨厌这么说,但至少在Windows上,你有几十家公司每个工作日都在花钱,找出软件有多糟糕,如何检测它以及如何删除它。这是一个由必然性而诞生的市场,虽然我也不愿意这样说,但在它们变好之前,事情可能会变得更糟。
对于安全偏执狂,我刚才写了一篇短文:Linux isn’t invulnerable. Don’t say it is.。偷偷摸摸进入存储库可能不会成为分发恶意软件的主要攻击媒介。他们更有可能(IMO)利用用户的贪婪和愚蠢来安装受感染的.debs。
次佳解决办法
是。包由社区检查(因此1可能会安装一些恶意软件,但该消息将在所有用户之间快速传播)。
应用需要遵守licensing中列出的非常严格的规则。
The wiki page for new packages有更多信息:
Going through MOTU
Packages which are not in Ubuntu yet, require extra scrutiny and go through a special review process, before they get uploaded and get a final review by the archive admins. More information on the review process, including the criteria which will be applied, can be found on the Code Reviewers page. Developers are encouraged to examine their own packages using these guidelines prior to submitting them for review.
To receive higher quality bug reports write an apport hook for your package.
那说:一般的想法是。如果您发现可疑的东西,您可以在启动板上报告,askubuntu,ubuntuforums和其他人会选择它。
可能发生的情况是,恶意软件的创建者生成有效的包,接受它,然后进行添加恶意软件的更新。许多人中至少有一人总是抓住这个,他/她会报告这个。它不会以这种方式进入很多机器。 (将它放到我们的机器上的努力对于潜在的奖励来说太多了:定位Windows机器要容易得多)。
bumblebee严重错误的例子。有人错过了一个空间而且/usr被删除了……有些人受到了影响,1个帖子发出红色警告,现在我们都知道了。创建者修复它(比光速快),但损坏是在几个系统上完成的。这是一个错误,而不是故意,所以它可能会发生;)
第三种解决办法
我假设没有人可以向你保证。您将不得不检查要添加到Debian软件包索引中的软件包会发生什么,但我认为您应该能够将邪恶的东西放到那里。
您可以设置虚拟机并在那里尝试软件,然后可以使用iftop查看网络流量,以查看此应用程序是否与家庭通信。有可能你永远不会看到任何东西,因为它隐藏得太好了。
开源并不意味着安全,只是因为你可以看看代码并不意味着有人这样做。
第四种办法
要在启动板上的PPA中发布代码,您需要设置openPGP并创建附加到电子邮件地址的密钥。要签署包,您需要本地计算机上的私钥副本和密码(不存储在任何地方)。如果软件包存在安全问题,则应该相对容易地跟踪作者。我假设Ubuntu和Debian的主要存储库至少是安全的。
大多数开源项目都有一个至少具有ssh级别保护的中央存储库(密码和/或公钥/私钥对)。在这里获取未经授权的访问比ppa更容易,但不是微不足道的。版本控制系统通常记录进行每次提交的用户,并使得很容易弄清楚提交的作用。
人们总是可以尝试将某些内容放入补丁中,但这是一个冒险的主张。大多数程序员都不会接受太大而不易阅读的补丁。如果你被抓住了,那就差不多了。
还有一定数量值得信任,因此有人可能会将间谍软件带入Ubuntu。如果Ubuntu的市场份额大幅增长,也许我们不得不担心这件事。