ubuntu-make(umake)可用于安装各种流行的开发工具的最新版本。
这个过程有多安全?与 内置的安全性相比如何apt-get
?例如,通过未存储在存储库服务器上的密钥进行数字签名、在工具中发现安全漏洞时进行安全、自动更新等?Apt 有一个apt-secure
手册页,详细介绍了 apt 的安全方法。umake
有类似的东西吗?
umake 或其交付软件包的创建过程是否会检查底层软件包上的任何数字签名,例如 Maven Central 签名?签名密钥是如何审查的?该过程是否会创建任何签名,而 umake 反过来会自动检查这些签名?这些步骤似乎很重要,正如在Maven 是一个可行的攻击媒介吗? - 信息安全 Stack Exchange
我发现 umake 还没有进行更新(更新工具 · 问题 #74)。是否有任何方法可以确定某个已安装的工具是否已过期,以便您知道何时执行“删除/重新安装”解决方法?是否有任何方法可以检查已安装的 umake 工具是否存在安全漏洞?是否可以通过 Web 直接检查打包工具的存档以及任何相关版本和安全元数据?如果没有,是否可以通过 获得umake
?软件包和元数据的格式是什么?
最后,有没有计划使用更新框架(TUF)真的能以安全的方式处理软件更新吗?
答案1
我也找不到完整的答案。只有一个方面:
Ubuntu make 最近由于校验和错误而无法安装软件包,因此似乎需要进行一些检查。参见 f.ex。https://github.com/ubuntu/ubuntu-make/issues/457和https://github.com/ubuntu/ubuntu-make/issues/346。
这并没有说明哈希值的存储位置等,但至少似乎计算了 MD5 校验和。
更新:似乎有些软件包有 GPG 签名。请参阅使用 umake 安装 Android Studio 时出错。
更新 2:对于 Android,他们似乎只是从包含下载链接的同一 HTML 页面下载校验和。请参阅回购,其中表示
"""解析 Android 下载链接,期望找到 sha1sum 和 url"""