Ubuntu Software Center casus programlarındaki programlar ücretsiz mi?

Ubuntu Yazılım merkezinde programlar için farklı bölümler var.

• Ubuntu tarafından sağlandı
• Kanonik Ortaklar
• Satın almak için

Bunların hepsinin açık kaynaklı olduğunu biliyorum; Ancak, herhangi bir casus yazılım veya kötü amaçlı yazılım içermemesini sağlamak için Canonical tarafından yapılan herhangi bir doğrulama işlemi var mı?

Merak ediyorum, herkesin bunlara (şu andan itibaren 2355 program veya daha fazla programa), yazılım sürümüne bakmaya zaman kazanacak mı !!

Endişeliyim çünkü rutin olarak popüler olmayan yazılımları yazılım merkezinden yüklüyorum :)

Kötü amaçlı yazılım olmadığından emin olmak için bir işlem var mı? Hayır . Hiçbir garantisi yoktur.

Bununla birlikte, denemek ve saptamak için birkaç mekanizma var, ancak fazla mahkum ve hüzünlü olmak istemem de, eğer dürüst olursak, muhtemelen olmak istediğin kadar güvenli değilsindir.

1. Bir proje önce Ubuntu'ya eklenmeli. Rinzwind'in dediği gibi, bu aşamada kontroller yapılır, ancak bu gerçekten Ubuntu'daki bir paketin ömrü olan buzdağının sadece görünen kısmıdır.

2. Uzun vadeli paketler için ilk gerçek savunma hattı proje sahipleridir. Bu insanlar projelerine bakar ve onları geliştirmek için yamaları kabul eder. Onlar insan. Hata yaparlar ve şeyleri özlerler. Ve bazıları tembel olabilir.

   Kötü niyetli bir kişinin, kötü amaçlı yazılımın yanı sıra orijinal geliştirmeleri de dahil ederek bazı kötü amaçlı yazılımları gizlice sokması mümkündür.

   Bir proje sahibi tarafından kötü bir şey kabul edilirse, başarılı bir denetimden tasarruf edin, şansınız Ubuntu kullanıcılarının makinelerinde kodun bitmesidir.

3. Güvenlik denetimleri ikinci adımdır. Bu kod inceleyerek ve kötü şeyleri tespit etmek için monitörlere karşı çalıştırıyor. Bildiğim kadarıyla, güvenliğe adanmış resmi bir Canonical ekibi yoktur, ancak aralarındaki tüm paketleri idare eden iki topluluk ekibi (Ubuntu Güvenliği ve MOTU SWAT) vardır.

   Denetleme, yalnızca kullanıcılara gitmeden önce her kod satırı doğru şekilde kontrol edildiğinde gerçekten işe yarar. Bu, bahsettiğimiz kod miktarı ve güncelleme sayısı için gerçekten pratik değildir. Bu şekilde yapmak çok fazla zaman ve para gerektiriyor.

   Biri sırf açık kaynak dünyasında bir varsayım vardır edebilir kaynağını görüntülemek, onlar var. Bu sürdürülmesi çok tehlikeli bir ahlakidir.

   Güvenlik düzeltmeleri, delikleri bulan ve ifşa eden insanlara büyük ölçüde tepki gösterir. Biri buldukları bir delik açarsa ne olur?

4. Diğer "son kullanıcılar" raporlama sorunları son gerçek saptama mekanizmasıdır ve dürüst olalım, iyi kötü amaçlı yazılımlar, bir fark yaratmak için çok geç olana kadar bir sorun olduğunu bilmez. İyi yazılmış kötü amaçlı yazılımlar ekranınızı çevirmeyecek veya tüm bant genişliğinizi çalmayacak, arka planda oturacak, bir yere isimsiz bir dökümü atmadan önce tüm bankacılık ayrıntılarınızı kaydedecektir.

Tüm süreç, kendi güvenlik seviyelerini korumak için yukarı akıştaki projelere dayanır. Birisi Gnome hesap makinesinin sağlayıcısının yanından bir şey geçirmişse, şansını çizgideki herkes tarafından kaçırması muhtemeldir. Bir güvenlik ekibi de bundan şüphelenmeyecek.

Neyse ki çoğu bakıcı ne yaptığını iyi. Kod tabanlarını biliyorlar ve yamaları anlamazlarsa, yeterince net olmadıklarına göre reddedecekler.

Risk değerlendirmesi açısından, daha az popüler olan bir şey kullanarak, kodu kontrol eden daha az göz vardır. Ancak benzer şekilde, muhtemelen daha az sayıda taahhüt vardır, bu nedenle, bakımveren tembel olmadıkça (veya kötü olmadıkça), her bir taahhütle baş etmek için daha fazla zamanları olabilir. Tam olarak ne kadar risk altında olduğunu söylemek zor. Açık kaynaklı yazılımın güvenliği, koda bakacak yetenekli kişilere bağlıdır.

Buna karşılık, kapalı kaynak kalemler (ortak ve satın alma depolarındaki) topluluk tarafından tamamen denetlenmez. Kanonik bazı kaynak erişimine sahip olabilir, ama açıkçası, kaynak erişimi olsa ve istese bile, işleri kapsamlı denetimler yapacak kaynaklara sahip olduklarından şüpheliyim.

PPA'larda olduğu gibi, kaynağa kendiniz dalmak istemediğiniz sürece çok az koruma elde edersiniz. Kullanıcılar kaynak koduna ne isterlerse ekleyebilirler ve kendiniz (ve kötü amaçlı yazılımları tespit edebileceksiniz) kontrol edemediğiniz sürece kurtlarla çevrili bir koyunsunuzdur. İnsanlar kötü KA'ları bildirebilir, ancak olan bitenler sorunu kontrol eden ve onaylayan diğer insanlara bağlıdır. Büyük bir site (örneğin, OMGUbuntu) bir PPA (çoğu zaman yaptıkları gibi) önerdi ise, birçok kullanıcı bu konuda sorun yaşayabilir.

Sorunu daha da arttırmak için Linux kullanıcısının daha düşük pazar payı, kötü kodları bulabilmemiz için daha az yazılım bulunduğunu gösterir. Söylemekten nefret ediyorum ama en azından Windows ile her iş günü harcayan, yazılımın ne kadar kötü çalıştığını, nasıl tespit edilip nasıl kaldırılacağına karar veren onlarca şirketiniz var. Bu, zorunluluktan doğan bir pazardı ve bunu söylemekten nefret ediyorum da, daha iyi hale gelmeden önce muhtemelen işler daha da kötüye gidecek.

Güvenlik paranoyakları için, bir süre önce kısa bir yazı yazdım: Linux yenilmez değildir. Öyle deme. . Depoya bir şeyler gizlice sokmak muhtemelen kötü amaçlı yazılım dağıtan asshats için birincil saldırı vektörü olmayacak. Virüslü .debs kurmaları için kullanıcıların açgözlülüğü ve aptallığı üzerinde oynamaları çok daha muhtemeldir (IMO).

Evet. Paketler topluluk tarafından kontrol edilir (bu nedenle 1 kötü amaçlı yazılım yükleyebilir, ancak bu haber tüm kullanıcılar arasında hızla yayılır).

Uygulamaların, lisanslamada belirtilen çok katı kurallara uyması gerekir .

Yeni paketlerin wiki sayfasında biraz daha fazla bilgi var:

MOTU'dan geçmek

Henüz Ubuntu'da olmayan paketler, daha fazla inceleme gerektirir ve yüklenmeden önce arşiv yöneticileri tarafından özel bir inceleme sürecinden geçirilir . Gözden geçirme süreci hakkında daha fazla bilgiyi uygulanacak kriterler de dahil olmak üzere Kod İnceleyenleri sayfasında bulabilirsiniz . Geliştiricilerin incelemeye göndermeden önce bu yönergeleri kullanarak kendi paketlerini incelemeleri önerilir.

Daha yüksek kalitede hata raporları almak için paketinize bir ek kanca ekleyin.

Dedi ki: genel fikir. Şüpheli bir şey bulursanız fırlatma rampasında rapor ediyorsunuz, askubuntu, ubuntuforums ve birisi onu alacak.

Olabilecek kötü amaçlı yazılımın yaratıcısının geçerli bir paket oluşturması, kabul etmesini sağlamak ve ardından kötü amaçlı yazılımı ekleyen bir güncelleme yapmasıdır. Pek çoğundan en az biri daima bunu yakalar ve bunu bir yerde rapor eder. Bu şekilde birçok makineye girmeyecek. (Makinelerimize alma çabası, potansiyel bir ödül için çok fazla: Windows makinelerini hedeflemek çok daha kolay).

Yaban arısı ile çok yanlış giden şeylere örnek . Biri bir alanı kaçırdı ve / usr silindi ... bazı insanlar etkilendi, 1'i kırmızı bayraklı bir uyarı verdi ve şimdi hepimiz biliyoruz. Oluşturan (onu ışık hızından daha hızlı) düzeltir, ancak birkaç sisteme zarar verildi. Ve bu bir hataydı ve kasıtlı değil, böylece olabilirdi;)

Kimsenin seni temin edemeyeceğini varsayıyorum. Bir paketin Debian paket dizinine eklenmesi için ne olması gerektiğini kontrol etmeniz gerekir, ancak oraya kötü bir şey sokmanız gerektiğini düşünüyorum.

Sanal bir makine kurabilir ve oradaki yazılımı deneyebilir, daha sonra iftopbu uygulamaların evinizde konuşup konuşmadığını görmek için ağ trafiğine bakabilirsiniz . Şansınız, hiçbir şey görmeyeceğinizdir, çünkü çok iyi gizlenmiştir.

Açık Kaynak, güvenlik anlamına gelmez, sadece koda bakabildiğiniz için birinin yaptığı anlamına gelmez.

Başlatma panelinde bir PPA'da kod yayınlamak için openPGP kurmanız ve bir e-posta adresine bağlı bir anahtar oluşturmanız gerekir. Bir paketi imzalamak için yerel makinedeki özel anahtarın bir kopyasını ve şifreyi (hiçbir yerde saklanmayan) gerekir. Bir paketin güvenlik sorunları varsa, yazarın izini sürmek nispeten kolay olmalıdır. Ubuntu ve Debian'ın ana depolarının en azından o kadar güvende olduklarını farz ediyorum.

Açık kaynaklı projelerin çoğu, en az ssh seviyesi koruması olan merkezi bir depoya sahiptir (şifre ve / veya açık / özel anahtar çifti). Buraya yetkisiz erişim sağlamak, ppa'dan biraz daha kolay ancak önemsiz değildir. Versiyonlama sistemleri tipik olarak her bir taahhüdü yapan ve sadece bir taahhüdün ne yaptığını bulmayı oldukça kolaylaştıran kullanıcıyı kaydeder.

Kişi her zaman bir şeyi bir yamaya sokmaya çalışabilirdi, ancak bu riskli bir teklif. Çoğu kodlayıcı, kolayca okuyamayacak kadar büyük bir düzeltme ekini kabul etmez. Eğer yakalanırsan, bu hemen hemen olur.

Hala güvenebilecek bir miktar var, bu yüzden birisinin casus yazılımları Ubuntu'ya sokması mümkün. Belki de Ubuntu'nun pazar payı önemli ölçüde artarsa ​​endişelenmemiz gereken bir şeydir.