Hangi Ubuntu depoları tamamen güvenli ve kötü amaçlı yazılım içermiyor?

Android işletim sistemine bulaşan tüm kötü amaçlı yazılımlarla ilgili haberleri okudum. Kötü amaçlı yazılım Google App Store'da ve insanlar farkında olmadan indiriyor ve yüklüyor.

Anladığım kadarıyla, Ubuntu'nun Ana deposundan indirmem güvenlidir (bunu yapmaktan kötü amaçlı yazılım bulaşmaz) çünkü Canon mühendisleri yazılımı inceler. Peki ya diğer depolar, özellikle de Evren deposu? Evren deposu kötü amaçlı yazılımlardan korunmak için herhangi bir inceleme alıyor mu? Bilmeden kötü amaçlı yazılım indirmekten korktuğu için Evren deposundan kaçınılması tavsiye edilir mi?

PPA'ların özellikle tehlikeli olduklarını okudum çünkü gözden geçirilmiyorlar. Bununla birlikte, Google Chrome PPA'yı kullanmanın tamamen güvenli olduğunu varsayıyorum.

Dolayısıyla, Ana ve Evren depolarından ve Google Chrome PPA'dan başka bir şey kullanmazsam, bilmeden kötü amaçlı yazılım indirmeye karşı korunacak mıyım?

Ubuntu, Mark Shuttleworth gibi yüz milyonlarca kullanıcı kazanırsa, Ubuntu PPA'ları, Google'ın App Store'un bugün Android için olduğu gibi Ubuntu için kötü amaçlı yazılım sorunu olmayacak mı?

Tüm resmi Ubuntu depoları (bulabileceğiniz her şeyi archive.ubuntu.comveya aynalarını ve diğerlerini kapsar) tamamen küratörlüğünü yapar. Bu araçlar main, restricted, universe, multiverse, hem de -updatesve -security. Buradaki tüm paketler Debian'dan (ve bir Debian Geliştiricisi tarafından yüklendi) veya bir Ubuntu geliştiricisi tarafından yüklendi; her iki durumda da yüklenen paket, yükleyicinin gpg imzası ile doğrulanır.

Bu nedenle, resmi arşivlerdeki her paketin bir Debian veya Ubuntu geliştiricisi tarafından yüklendiğine güvenebilirsiniz. Ayrıca, indirdiğiniz paketler depodaki dosyalar üzerindeki gpg imzaları ile doğrulanabilir, böylece indirdiğiniz her paketin bir Ubuntu veya Debian geliştiricisi tarafından yüklenen kaynaktan Ubuntu oluşturma çiftliğinde oluşturulduğuna güvenebilirsiniz.

Bu, doğrudan kötü amaçlı yazılımları olası hale getirmez - güvenilir bir konumda bulunan birinin yüklemesi gerekir ve yükleme onlar için kolayca izlenebilir.

Bu, daha gizemli hainlik sorununu bırakır. Memba geliştiricileri, başka türlü yararlı yazılımlara arka kapıları yerleştirebilirler ve bunlar , lisansa bağlı olarak , arşivde universeveya multiverseiçinde olabilir. İnsanlar Debian arşivinin güvenlik denetimlerini yapıyor, bu nedenle bu yazılım popüler hale gelirse arka kapı keşfedilecek gibi görünüyor.

Paketler mainekstra kontrole sahip ve Ubuntu güvenlik ekibinden daha fazla sevgi alıyor.

PPA'ların neredeyse hiçbiri yoktur. Bir PPA'dan aldığınız garanti, indirdiğiniz paketlerin Ubuntu derleme altyapısı üzerine kurulmuş olması ve listelenen yükleyicinin Launchpad hesabının GPG anahtarlarından birine erişimi olan biri tarafından yüklenmiş olmasıdır. Yükleyicinin söyledikleri kişi olduğuna dair bir garanti yoktur - herkes "Google Chrome PPA" yapabilir. PPA'lar için güveni başka bir şekilde belirlemeniz gerekir.

¹: Bu güven zinciri, Ubuntu altyapısına yapılan büyük bir saldırı nedeniyle kırılabilir, ancak bu her sistem için geçerlidir. Bir geliştiricinin gpg anahtarının güvenliği, siyah şapkanın paketleri arşive yüklemesine izin verir, ancak arşiv her paketin yükleyicisine e-posta gönderdiğinden, bu hızlı bir şekilde fark edilmelidir.

Yüklenmeden önce Ubuntu Depolarındaki tüm paketler MOTU'lar (Evrenin Ustaları) tarafından kontrol edilir ve gözden geçirilir. MOTU'lar, Ubuntu'nun Evren ve Çok Değişkenli bileşenlerini formda tutan cesur ruhlardır. Onlar zamanlarını Evrende bulunan yazılımı ekleyerek, koruyarak ve destekleyerek geçiren topluluk üyeleridir. Bu nedenle, bu paketlerin bilgisayarınıza girme ve verilerinizi çalma şansı yoktur. Ancak bu paketlerin yazılımda bulunan kusurlar olan güvenlik hataları olabilir. Ayrıca Ubuntu'da güvenlik içeren bazı yazılımlar da mevcuttur (örneğin tuş kaydediciler), ancak bu paketler verilerinizi çalmaz (birisi bilgisayarınıza kasıtlı olarak yüklenmedikçe).

Bu yardımcı olur umarım. Daha fazla bilgi için Ubuntu wiki sayfası MOTU'ya bakın.

Ana ve Evren depolarıyla kalmak çok güvenlidir ve özellikle popüler olmaları durumunda (çoğu zaman) PPA'lar da vardır veya güvenli olacaklarını (Google Chrome PPA gibi) biliyorsunuzdur. içine herhangi bir tür kötü amaçlı yazılım koyun.) Main, Universe ve Google Chrome PPA'nızı kullanıyorsanız güvende olacaksınız.

Ubuntu bir ton kullanıcı kazanırsa, evet, muhtemelen daha fazla kötü amaçlı yazılım olacaktır. Gerçi gerçek bir sorun olmaya yetecek kadar sanmıyorum.