Являются бесплатными программы в шпионском ПО Центра программного обеспечения Ubuntu?
В Центре программного обеспечения Ubuntu существуют различные разделы для программ
- Если Ubuntu
- Канонические партнеры
- Для покупки
Я знаю, что все они являются открытым исходным кодом; но есть ли какой-либо процесс проверки, сделанный Каноническим, чтобы гарантировать, что они свободны от какого-либо шпионского ПО или вредоносного программного обеспечения?
Интересно будет любой заставлять время смотреть на все они (приблизительно 2355 программ на данный момент), программный код что также для каждого выпуска!!
Я волнуюсь, потому что я обычно устанавливаю довольно непопулярное программное обеспечение от центра программного обеспечения :)
4 ответа
Существует ли процесс, чтобы гарантировать, что нет никакого вредоносного программного обеспечения? Нет. Нет никаких гарантий вообще.
Существуют, однако, несколько механизмов, чтобы попытаться обнаружить его, но в то время как я не хочу получать также гибель-и-мрак, если бы мы честны, Вы, вероятно, не так в безопасности, как требуется быть.
Проект сначала должен быть добавлен к Ubuntu. Как Rinzwind говорит, проверки осуществлены на данном этапе, но это - действительно только верхушка айсберга, которая является жизнью пакета в Ubuntu.
Первый реальный оборонительный рубеж для долгосрочных пакетов является их специалистами по обслуживанию проекта. Эти люди заботятся о своих проектах и принимают, что патчи улучшают их. Они являются человеческими. Они делают вещи мисс и ошибки. И некоторые могли бы быть ленивыми.
Возможно, что плохой человек мог стащить некоторое вредоносное программное обеспечение мимо них включением подлинных улучшений наряду с вредоносным программным обеспечением.
Если что-то плохо допускает в проект его специалист по обслуживанию, сохраните успешный аудит, возможности состоят в том, что код закончится на машинах пользователей Ubuntu.
Проверки защиты являются вторым шагом. Это исследует код и выполняет его против мониторов для обнаружения плохих вещей. Насколько я знаю, нет официальной Канонической команды, выделенной безопасности, но существует две общественных команды (безопасность Ubuntu и SWAT MOTU), которые обрабатывают все пакеты между ними.
Аудит только действительно работает, если каждая строка кода проверяется правильно, прежде чем это выйдет к пользователям. Это не действительно практично для объема кода и количества обновлений, о которых мы говорим. Потребовалось бы огромное количество времени и деньги, чтобы сделать это этот путь.
Существует предположение в мире с открытым исходным кодом, что просто, потому что кто-то может просмотреть источник, они имеют. Это - очень опасный идеал для поддержания.
Исправления безопасности являются в основном реакционными людям, находящим и раскрывающим дыры. Что происходит, если кто-то раскрывает дыру, они находят?
Другие "конечные пользователи", сообщающие о проблемах, являются заключительным реальным механизмом обнаружения и давайте будем честны, хорошее вредоносное программное обеспечение не сообщит пользователю существует проблема, пока не слишком поздно, чтобы иметь значение. Правильно написанное вредоносное программное обеспечение не собирается зеркально отражать Ваш экран или красть всю Вашу пропускную способность, это собирается находиться там в фоновом режиме, регистрируя все Ваши банковские детали, прежде чем это отправит их всех прочь на некоторый анонимный дамп где-нибудь.
Целый процесс зависит от восходящих проектов поддержать их собственные уровни безопасности. Если кто-то подсунул что-то мимо специалиста по обслуживанию калькулятора Gnome, возможности, он собирается быть пропущенным всеми другими по линии. Служба безопасности никогда не будет подозревать это также.
К счастью большинство специалистов по обслуживанию способно к тому, что они делают. Они знают свою кодовую базу и если они не поймут патчи, то они отклонят их на основании, что они не достаточно ясны.
С точки зрения оценки риска, при помощи чего-то, что намного менее популярно, там вероятны меньше глаз, проверяющих код. Но так же существует, вероятно, меньше фиксаций, поэтому, пока специалист по обслуживанию не ленив (или зло), у них могло бы быть больше времени для контакта с каждой фиксацией. Трудно сказать точно, в каком количестве риска Вы. Безопасность программного обеспечения с открытым исходным кодом зависит от способных людей, смотрящих на код.
С другой стороны объекты с закрытым исходным кодом (в партнере и покупке repos) абсолютно неаудированы сообществом. Канонический может иметь некоторый исходный доступ, но откровенно я сомневаюсь, что у них есть ресурсы, чтобы дать вещам полные аудиты, даже если они имели исходный доступ и хотели.
Так же с PPAs, Вы получаете очень мало защиты, если Вы не хотите погрузиться в источник сами. Пользователи могут добавить, что они любят к исходному коду и если Вы не собираетесь проверить его сами (и Вы способны к обнаружению вредоносного программного обеспечения), Вы - овца, окруженная волками. Люди могут сообщить о плохом PPAs, но что-то случай зависит от других людей, проверяющих и подтверждающих проблему. Если большой сайт (например, OMGUbuntu) рекомендовал PPA (как они часто делают), у большого количества пользователей могут быть проблемы по линии.
Для усугубления проблемы более низкая доля рынка пользователя Linux означает, что существует только меньше программного обеспечения, доступного для нас, выслеживают плохой код. Я очень не хочу сказать это, но по крайней мере с Windows, у Вас есть десятки компаний, проводя каждый рабочий день, узнавая, как плохое программное обеспечение работает, как обнаружить его и как удалить его. Это было рынком, перенесенным от необходимости и в то время как я очень не хочу сказать это также, дела, вероятно, идут ухудшиться здесь, прежде чем они поправятся.
Для параноиков безопасности я написал короткую статью только что: Linux не неуязвим. Не говорите, что это.. Стащение вещей в репозиторий, вероятно, не будет основным вектором атаки для asshats, которые распределяют вредоносное программное обеспечение. Это намного более вероятно (IMO), который они будут играть на жадности и глупости пользователей заставить их устанавливать зараженный .debs.
Да. Пакеты проверяются сообществом (таким образом, 1 мог бы установить некоторое вредоносное программное обеспечение, но те новости распространятся быстро среди всех пользователей).
Приложения должны пребывать к очень строгим правилам, обрисованным в общих чертах в лицензировании.
Страница Wiki для новых пакетов имеет немного больше информации:
Прохождение через MOTU
Пакеты, которые еще не находятся в Ubuntu, требуют дополнительного исследования и проходят специальный процесс рассмотрения, прежде чем они будут загружены, и получите окончательное рассмотрение администраторами архива. Больше информации о процессе рассмотрения, включая критерии, которые будут применены, может быть найдено на странице Code Reviewers. Разработчики поощряются исследовать свои собственные пакеты с помощью этих инструкций до представления их для обзора.
Для получения более высокой качественной записи отчетов об ошибках по левую сторону судна сцепляются для пакета.
Это сказало: общее представление. Если Вы находите что-то подозрительным, что Вы сообщаете об этом относительно панели запуска, askubuntu, ubuntuforums, и кто-то возьмет его.
То, что могло произойти, - то, что создатель вредоносного программного обеспечения делает допустимый пакет, принял его и затем делает обновление, которое добавляет вредоносное программное обеспечение. По крайней мере один из многих, многие всегда ловят это и он сообщит об этом где-нибудь. Это не собирается получать на большое количество машин этот путь. (усилие по получению его на наши машины слишком много для потенциального вознаграждения: предназначение для машин окон намного легче).
Пример вещей, идущих ужасно неправильно со шмелем. Кто-то пропустил пространство, и/usr был удален..., некоторые люди были затронуты, 1 сообщение предупреждение с красными флагами, и теперь все мы знаем. Создатель фиксирует его (быстрее затем скорость света), но ущерб был нанесен нескольким системам. И это было ошибкой и не преднамеренное, таким образом, это может произойти ;)
Я предполагаю, что никто не может уверить Вас это. Необходимо было бы проверить то, что должно произойти, чтобы пакет был добавлен к индексу пакета Debian, но я думаю, что необходимо смочь подсунуть что-то злое в там.
Можно настроить виртуальную машину и попробовать программное обеспечение там, можно затем просмотреть сетевой трафик с чем-то как iftop видеть, говорит ли это приложения для размещения. Возможности состоят в том, что Вы ничего никогда не будете видеть, потому что это скрыто слишком хорошо.
Открытый исходный код не имеет в виду безопасности, просто потому что можно посмотреть на код, не означает, что кто-то сделал.
Для публикации кода в PPA на панели запуска, необходимо настроить openPGP и создать ключ, присоединенный к адресу электронной почты. Для подписания пакета, Вам нужна копия закрытого ключа на локальной машине и пароле (который не хранится нигде). Если пакет имеет проблемы безопасности, должно быть относительно легко разыскать автора. Я предполагаю, что основные репозитории для Ubuntu и Debian, по крайней мере, настолько защищены.
Большинство проектов с открытым исходным кодом имеет центральный репозиторий с, по крайней мере, ssh защита уровня (пароль и/или пара "открытый/закрытый ключ"). Получение несанкционированного доступа здесь немного легче, чем ppa, но не тривиально. Системы управления версиями, обычно рекордные пользователь, который делает каждую фиксацию и делает довольно легким выяснить, что делает фиксация.
Можно было всегда пытаться скользить, что-то в патч кроме этого - опасное суждение. Большинство кодеров не примет патч, который является слишком большим для легкого чтения. Если Вы пойманы затем, это - в значительной степени это.
Существует все еще определенная сумма, которую оставляют доверять, таким образом, возможно, что кто-то мог получить шпионское ПО в Ubuntu. Возможно, это - что-то, что мы должны будем взволновать по поводу того, если доля рынка Ubuntu значительно растет.