Какое тестирование проводится, чтобы убедиться, что ни один из пакетов в репозиториях не содержит вредоносных программ?
Как гарантируется, что доверенный пользователь не может скомпилировать пакет с вредоносным ПО и поместить его в репозиторий юниверса.
1 ответ
Канонический имеет Служба безопасности Ubuntu , который является заплаченной группой, которая профессионально рассматривает и поддерживает программное обеспечение, отправленное архивам Ubuntu, а также выпуск фиксирует (иначе обновления системы защиты).
От Wiki Ubuntu:
Служба безопасности Ubuntu часто выполняет аудиты на программном обеспечении, прежде чем она должна будет официально поддерживаться. После того как уязвимости найдены, Служба безопасности использует ответственное раскрытие для уведомления других о проблеме.
Служба безопасности Ubuntu не работает над одними только пакетами, но действительно сотрудничает с другими, в особенности служба безопасности Debian и средства отслеживания уязвимости такой как база данных MITRE CVE , и поддерживает свое собственное Средство отслеживания CVE.
та же страница Wiki также перечисляет это, они активно вовлечены в разработку инструментов для защиты формы новые уязвимости; среди других инструментами является AppArmor, CompilerFlags, и т.д.
, В частности, состояния службы безопасности FAQ :
программы установки программного обеспечения, которые появляются связанные Ubuntu, такой как Центр программного обеспечения Ubuntu и Менеджер обновлений, проверяют пакеты, когда они установлены, чтобы удостовериться, что они безопасны и не управлялись или trojaned во время их загрузки. Кроме того, большое подмножество пакетов в архиве официально поддерживаются Службой безопасности Ubuntu и получают своевременные обновления для проблем безопасности, которые могут возникнуть
Так, другими словами, помещенный thomasrutter, пакеты подписываются криптографически для обеспечения их проверки.
определенные репозитории, за которыми наблюдает Служба безопасности, указаны в FAQ также:
Все двоичные пакеты в основном и ограниченный поддерживаются Службой безопасности Ubuntu для жизни релиза Ubuntu, в то время как двоичные пакеты во вселенной и мультивселенной поддерживаются сообществом Ubuntu.
, Конечно, программное обеспечение в наше время работает в миллионах и миллионах строк кода, во множестве языков, поэтому как наш уважаемый модератор ThomasW. отмеченный правильно, служба безопасности является людьми также, и они не могут возможно отслеживать все. Таким образом да, некоторые уязвимости и ошибки могут проскользнуть через, особенно во вселенной и репозиториях мультивселенной, но там существуют люди и механизмы, чтобы гарантировать, чтобы те уязвимости и ошибки не работали необузданный.
iptablesсоответствия don' t обычно работают как этот, Вам нужноkpcreустановленный модуль ядра (например, kpcre), но я don' t думают they' значение по умолчанию ре, не в Ubuntu. Мой regex находится в формате PCRE, поэтому, возможно, попробуйте " - алгоритм pcre" как в той ссылке Wiki. Вы могли использовать Wireshark для получения пакетов, затем сделать статический анализ, чтобы проверить, что regex соответствует. Я действительно вижу, что необходимо угробить " global" опция как that' s не в kpcre, ответ исправляется. – pbhj 1 February 2018 в 09:41