在 Debian 10 中如何验证 apt-get 软件包不包含任何病毒或任何恶意代码

在 Debian 10 中如何验证 apt-get 软件包不包含任何病毒或任何恶意代码

以下Dockerfile是基于 Debian 10 (buster) 镜像编写的

FROM node:12-buster

RUN apt-get update -y
RUN apt-get install wkhtmltopdf -y

#...rest content

正如您在上面看到的,我需要安装一个名为wkhtmltopdfusingapt-get命令的软件包(-y带有接受该软件包要求的任何权限的标志)

我的问题是:在 Debian 10 (buster) 中,我可以使用什么工具来验证wkhtmltopdfapt-get软件包)不包含任何病毒或任何恶意代码

如果您想知道为什么我需要进行该验证:

因为使用它构建的容器Dockerfile包含敏感数据,并且它还可以与其他容器(如mysql数据库容器和其他外部 https 资源)进行通信。

因此,如果包中wkhtmltopdf包含任何病毒或任何恶意代码,这意味着黑客可以窃取数据库数据和用户敏感信息和其他重要信息......

答案1

该软件包的源代码wkhtmltopdf确实可用,您应该能够阅读它或自行构建它,以确定它是否没有恶意代码。

德班包页面有链接到原始来源Debian 修改源。我还发现了一个 GitHub 存储库,声称拥有官方源代码

关于安全性,我更担心他们的警告“不要将 wkhtmltopdf 与任何不受信任的 HTML 一起使用”状态页。即使您确实验证了该软件包是非恶意的,该软件本身似乎也存在可能导致安全风险的错误。

就我个人而言,我会更关心验证任何node软件包,然后再担心 Debian 提供的东西。

答案2

我同意 GracefulRestart。但是,如果您需要 Debian 10 的防病毒软件,您可以安装clamav并使用clamscan命令手动检查文件是否有病毒。我在 Linux SMB/CIFS 服务器上使用它来跟踪 Windows 病毒,它非常有效。

相关内容