В программном центре Ubuntu существуют различные разделы для программ
Предоставлено Ubuntu Canonical Partners. Для покупкиЯ знаю, что все это с открытым исходным кодом; но есть ли какой-либо процесс проверки, сделанный Canonical, чтобы гарантировать, что у них нет шпионских или вредоносных программ?
Интересно, у кого будет время посмотреть все это (2355 программ или так далее), программный код, который тоже для каждой версии !!
Я беспокоюсь, потому что я регулярно установить довольно непопулярное программное обеспечение из программного центра:)
Приложения должны соблюдать очень строгие правила, изложенные в лицензировании.
licensing имеет немного больше информации:
Переход через пакеты MOTU, которые еще не находятся в Ubuntu, требует дополнительной проверки и проходит специальный процесс проверки, прежде чем они будут загружены и получить окончательный обзор архивных администраторов. Более подробную информацию о процессе обзора, включая критерии, которые будут применяться, можно найти на странице «Обзор обозревателей». Разработчикам рекомендуется изучить свои собственные пакеты, используя эти рекомендации, прежде чем отправлять их на рассмотрение. Чтобы получать отчеты об ошибках более высокого качества, напишите apport hook для вашего пакета.Это сказало: общая идея. Если вы обнаружите что-то подозрительное, вы сообщаете об этом на стартовой панели, askubuntu, ubuntuforums, и кто-то его поднимет.
Что может случиться, так как создатель вредоносного ПО делает действительный пакет, принимает его и затем делает обновление который добавляет вредоносное ПО. По крайней мере, один из многих из них всегда ловит это, и он / она сообщит об этом где-нибудь. Таким образом, он не попадет на множество машин. (попытка получить его на наших машинах слишком велика для потенциального вознаграждения: гораздо проще использовать таргетинг на машины для Windows).
Пример того, что происходит с шмелями. Кто-то пропустил пробел и / usr был удален ... некоторые люди пострадали, 1 сообщение с предупреждением с красными флагами, и теперь мы все знаем. Создатель исправляет его (быстрее скорости света), но ущерб был нанесен нескольким системам. И это была ошибка, а не преднамеренная, так что это может случиться;)
Я предполагаю, что вас никто не может заверить. Вам нужно будет проверить, что должно произойти для пакета, который будет добавлен в индекс пакета Debian, но я думаю, что вы должны уметь там что-то злое.
Вы можете настроить виртуальную машину и попробуйте программное обеспечение там, вы можете посмотреть через сетевой трафик с чем-то вроде iftop, чтобы узнать, разговаривают ли эти приложения с домом. Скорее всего, вы ничего не увидите, потому что он слишком спрятан.
Open Source не означает безопасность, просто потому, что вы можете смотреть на код, это не значит, что кто-то это сделал.
Чтобы опубликовать код в PPA на панели запуска, вам нужно настроить openPGP и создать ключ, прикрепленный к адресу электронной почты. Чтобы подписать пакет, вам нужна копия закрытого ключа на локальном компьютере и пароль (который нигде не хранится). Если у пакета есть проблемы с безопасностью, относительно легко отследить автора. Я предполагаю, что основные хранилища для Ubuntu и Debian по крайней мере защищены.
Большинство проектов с открытым исходным кодом имеют центральный репозиторий с защитой по крайней мере ssh (паролем и / или парой открытых / закрытых ключей). Получение несанкционированного доступа здесь немного проще, чем ppa, но не тривиально. Системы управления версиями обычно записывают пользователя, который делает каждую фиксацию, и позволяют довольно легко понять, что делает фиксация.
. Всегда можно попытаться что-то пропустить в патч, но это опасное предложение. Большинство кодеров не принимают патч, который слишком велик, чтобы его можно было легко прочитать. Если вы пойманы, это в значительной степени это.
До сих пор остается определенная сумма, которой можно доверять, поэтому возможно, что кто-то может получить шпионское ПО в Ubuntu. Может быть, нам придется беспокоиться о том, что доля рынка Ubuntu значительно возрастает.