我对将 Ubuntu 作为日常操作系统还很陌生。我的问题是如何使用 apt 命令确定应用程序是否从信誉良好的来源下载?我不确定在哪里可以找到有关软件包的信息以及如何验证所述软件包的作者。我已经安装的软件包使用一个驱动器的 API,并被一个驱动器识别为未经验证的发布者(编辑:我回去发现 abraunegg 的 Onedrive 已经过验证)。话虽如此,许多人都高度评价这个通过 apt 命令安装的应用程序,而无需添加其他存储库进行搜索。
到目前为止,有一位朋友告诉我,现成的 apt 存储库管理得相当好。如果我想维护一个完全安全的环境,我就不应该添加更多存储库供 apt 搜索。感谢这个社区为我提供的任何信息,很抱歉问了这样的问题,我只是不知道该向谁寻求更多信息。
答案1
让我们向上游看看这个软件来自哪里。
首先,我们向 apt 询问一些基本信息:
$ apt show onedrive
Package: onedrive
...
Section: universe/net
...
Maintainer: Ubuntu Developers <[email protected]>
Original-Maintainer: Sebastien Badia <[email protected]>
Bugs: https://bugs.launchpad.net/ubuntu/+filebug
...
Homepage: https://github.com/abraunegg/onedrive
...
Description: folder synchronization with OneDrive
OneDrive is the cloud storage system of Microsoft. This package provides
the command line client specialising in synchronizing with OneDrive cloud
storage.
接下来,让我们检查一下 Ubuntu 软件包所报告的错误:https://bugs.launchpad.net/ubuntu/+source/onedrive
结果:仅报告了两个错误,但似乎都不是什么安全问题。
现在让我们上游到 Debian:https://tracker.debian.org/pkg/onedrive
结果:维护人员采取了大量行动。新上传、测试、反向移植。无需采取任何重大行动。这些都是好的標誌。
让我们看一下 Debian 的错误列表:https://bugs.debian.org/cgi-bin/pkgreport.cgi?dist=unstable;package=onedrive
结果。报告的错误很少,似乎都不存在安全隐患。
最后,我们回到上游,看看 GitHub 上的源项目:https://github.com/abraunegg/onedrive
结果:活跃的项目,众多贡献者,增加了新的工作,报告了 16 个看起来相当典型的“问题”(功能请求和错误)。
因此,结果是该软件来自一个看似健康的上游项目,在 Debian 上得到积极维护,并且(显然)没有在任何级别报告与安全相关的错误。
它几乎是所有软件中最安全的,无需手动代码审计或自己编写。但您可以通过这种方式检查出处,因为它是开源软件。
答案2
你的朋友是对的。只要你从操作系统自带的官方存储库安装官方应用程序,几乎可以保证你下载的是安全合法的软件。不要无缘无故地随意添加存储库,在添加这些存储库之前要对其进行研究。
答案3
免责声明:我是‘onedrive’应用程序的开发者。
我已经安装的包使用一个驱动器的 API,并且被一个驱动器识别为未经验证的发布者。
该应用确实已经验证!
欲了解更多详情,请阅读:https://github.com/abraunegg/onedrive/blob/master/docs/application-security.md