如何确保受信任的用户不能编译带有恶意软件的包并将其放置在 Universe repo 中。
答案1
笔记:Ubuntu 安全团队的一名成员对此进行了更深入的回答这个答案。下面的答案是我在链接答案的两年前写的。
Canonical 有Ubuntu 安全团队,这是一个付费组织,专业审查和支持提交到 Ubuntu 档案的软件,以及发布修复程序(又名安全更新)。
来自 Ubuntu Wiki:
Ubuntu 安全团队经常在软件正式获得支持之前对其进行审核。一旦发现漏洞,安全团队就会以负责任的方式披露问题,让其他人知道。
Ubuntu 安全团队并不是单独致力于软件包开发,而是与其他团队合作,特别是 Debian 安全团队和漏洞追踪者,例如MITRE CVE 数据库,并维护自己的 CVE Tracker。
同一 wiki 页面还列出了他们积极参与开发用于防范新漏洞的工具;其中包括 AppArmor、CompilerFlags 等。
尤其,安全团队常见问题解答状态:
Ubuntu 捆绑的软件安装工具(例如 Ubuntu 软件中心和更新管理器)会在安装软件包时对其进行验证,以确保软件包安全,且在下载过程中未被操纵或植入木马。此外,档案库中的大量软件包均由 Ubuntu 安全团队正式支持,并会及时更新可能出现的安全问题
换句话说托马斯·鲁特,这些包都经过加密签名,以确保其有效性。
安全团队监督的具体存储库也在常见问题解答中说明:
Ubuntu 安全团队在 Ubuntu 发布的整个生命周期内支持 main 和 restricted 中的所有二进制包,而 Ubuntu 社区则支持 universe 和 multiverse 中的二进制包。
当然,如今的软件运行在数以百万计的代码行中,使用各种语言,因此,正如我们尊敬的主持人托马斯·W。 需要注意的是,安全团队也是人,他们不可能跟踪所有事情。所以,是的,一些漏洞和错误可能会漏掉,特别是在宇宙和多元宇宙存储库中,但有人和机制可以确保这些漏洞和错误不会肆虐。