是否有流程来确保没有恶意软件?否。根本没有任何保证。
但是,有多种机制可以尝试检测它,但是尽管我不想太过失败,但是,老实说,您可能不如您想的那样安全。
首先必须将项目添加到Ubuntu。正如Rinzwind所说,在此阶段进行检查,但这实际上只是冰山一角,而这只是Ubuntu中一个软件包的生命。
长期计划的第一道真正防线是他们的项目维护者。这些人照顾他们的项目并接受补丁来改进它们。他们是人类。他们犯错,错过事情。而且有些人可能是懒惰的。
恶意软件可能通过包含真正的改进和恶意软件来偷偷溜走一些恶意软件。
如果有一些不好的东西被其维护者接纳到项目中,那么可以通过一次成功的审核来保存代码,这些代码很有可能最终会出现在Ubuntu用户的机器上。
安全审核是第二步。这是在检查代码,并在监视器上运行它以检测不良情况。据我所知,没有一个官方的Canonical专门负责安全性的团队,但是有两个社区团队(Ubuntu Security和MOTU SWAT)来处理它们之间的所有程序包。
只有在每一行代码都经过正确检查之后再发布给用户,审计才真正起作用。对于我们正在谈论的代码数量和更新数量,这实际上是不实际的。这样做需要大量的时间和金钱。
在开放源代码世界中有一个假设,就是因为有人可以查看源代码,所以他们就拥有了。保持这种精神非常危险。
安全修复程序在很大程度上对人们发现和公开漏洞具有反作用。如果有人透露他们发现的漏洞怎么办?
其他“最终用户”报告问题是最终的真正检测机制,老实说,好的恶意软件不会让用户知道问题所在,直到为时已晚才有所作为。编写良好的恶意软件不会翻转屏幕或窃取您的所有带宽,它会坐在后台,记录您的所有银行详细信息,然后再将其全部发布到某个地方的匿名转储中。
整个过程取决于上游项目,以维持其自身的安全级别。如果有人从Gnome计算器的维护者那里溜走了东西,很可能其他人都会错过它。安全团队也永远不会怀疑它。
值得庆幸的是,大多数维护人员都擅长于他们的工作。他们知道他们的代码库,如果他们不了解补丁程序,他们将基于它们不够清晰的理由而拒绝它们。
在风险评估方面,通过使用不那么受欢迎的工具,检查代码的眼睛可能会更少。但是类似地,提交的次数可能更少,因此,只要维护者不懒惰(或邪恶),他们就有更多的时间来处理每次提交。很难确切地说出您所面临的风险。开源软件的安全性取决于有能力的人员看代码。
相反,封闭源项目(在合作伙伴和采购仓库中)完全不受社区审核。Canonical可能具有某些源访问权限,但是坦率地说,我怀疑他们是否有资源进行彻底的审核,即使他们具有源访问权限并愿意这么做。
与PPA相似,除非您想自己深入研究源,否则您将获得很少的保护。用户可以在源代码中添加任意内容,除非您自己进行检查(并且您能够检测到恶意软件),否则您将被狼群包围。人们可以报告不良的PPA,但某些情况要取决于其他人检查并确认问题。如果大型站点(例如OMGUbuntu)建议使用PPA(通常这样做),那么很多用户可能会遇到问题。
使问题更加复杂的是,Linux用户的市场份额较低,这意味着我们可以使用更少的软件来查找不良代码。我讨厌这样说,但是至少在Windows上,您有数十家公司每天工作,花费很多时间来了解不良软件的工作方式,如何检测和删除软件。那是一个因需要而诞生的市场,尽管我也不想这么说,但在情况好转之前,这里的情况可能会变得更糟。
对于安全方面的偏执狂,我前段时间写了一篇简短的文章:Linux并非无懈可击。不要说是。。将信息潜入存储库可能不会成为散布恶意软件的傻瓜的主要攻击媒介。他们更有可能(IMO)冒犯用户的贪婪和愚蠢,让他们安装受感染的.debs。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句