человечность - делает (umake), может использоваться для установки последней версии множества популярных инструментов разработчика.
То, насколько безопасный этот процесс и как он выдерживает сравнение с безопасностью, встроило к apt-get
, такой как цифровые подписи через ключи, которые не хранятся на серверах репозитория, безопасные, автоматизированные обновления, когда уязвимости системы обеспечения безопасности определяются в инструментах и т.д.? Кв. имеет apt-secure
страница справочника с деталями о способном подходе к безопасности. Делает umake
что-нибудь имеет как этот?
umake или процессы, которые создают пакеты, которые он обеспечивает, проверьте какие-либо цифровые подписи на базовых пакетах, включении, например, Знатоке Центральные подписи? Как ключи подписи исследуются? Процесс создает какие-либо подписи, которые автоматически проверяет umake, в свою очередь? Эти шаги кажутся важными, как обсуждено в действительно ли Знатоке вероятный вектор нападения? - Exchange Стопки информационной безопасности
Я вижу, что umake не делает обновлений все же (обновляющий инструменты · Выпуск № 74). Там какой-либо путь состоит в том, чтобы определить, является ли данный установленный инструмент устаревшим, таким образом, Вы знаете, когда сделать "удалить/переустановить" обходное решение? Там какой-либо путь состоит в том, чтобы проверить установленные umake инструменты для уязвимостей системы обеспечения безопасности? Доступен архив упакованных инструментов и какой-либо связанной версии и метаданных безопасности для контроля непосредственно по сети? В противном случае это доступный через umake
? В каком формате пакеты и метаданные?
Наконец, там какие-либо планы состоят в том, чтобы использовать Платформу обновления (TUF) для реального контакта с обновлениями программного обеспечения безопасным способом?
Я не мог найти полный ответ на это, также. Всего один аспект:
Ubuntu недавно делает отказавшими для установки пакета из-за неправильной контрольной суммы, таким образом, кажется, существует некоторая проверка. См. f.ex. https://github.com/ubuntu/ubuntu-make/issues/457 и https://github.com/ubuntu/ubuntu-make/issues/346.
Это не указывает, где хеши хранятся и т.д., но по крайней мере контрольная сумма MD5, кажется, вычисляется.
Обновление : кажется, что некоторые пакеты имеют подпись GPG. См. Ошибка (ошибки) при установке Studio Android с помощью umake.
Обновление 2 : походит, для андроида, они просто загружают контрольную сумму с той же страницы HTML, которая также имеет ссылку на загрузку. См. repo, который говорит
", ""Анализируют ссылки на загрузку Android, ожидают находить sha1sum и URL"""