我想知道是否texlive-full有任何安全问题?为什么每个人都信任它?有人检查过它们吗?
感谢您在这一点上帮助和教育我:)
答案1
TeX Live 包含相对较少的可执行项目和大量的“其他内容”,主要是 LaTeX 包、字体和文档(PDF 文件)。设置二进制部分的标准设置对系统 (La)TeX 部分的潜在安全风险“谨慎”,但这些风险可能更多是理论上的,而不是实际的。据我所知,还没有人试图向 CTAN 发送一个 LaTeX 包,从而向 TeX Live 发送一个故意用来\write18制造麻烦的包。受影响的人数非常少,自我复制的方法极不可能成功。系统的二进制部分当然在这方面更受关注,但据我所知,没有任何实际问题(尽管请参阅luatex 和 pdftex 一样安全吗?讨论 Lua 脚本对安全性的影响)。
尽管如此,没有人会检查每个 CTAN 上传内容是否有安全修复,而 TeX Live 团队的大部分材料或多或少都直接来自 CTAN。因此,如果您正在寻找某种形式的代码“保证”,那么您必须找到一个下游团队来做这项工作。据我所知,Ubuntu 不会这样做,尽管您最好在 Ubunut 特定网站上询问。也许其他操作系统团队(最明显的是 OpenBSD)如果非常注重安全性,可能会做这样的工作,但这更多是关于那些系统而不是 TeX。
答案2
如果您足够偏执,那么您可以下载完整的源代码,阅读并自行编译。
然而,由于大多数用户不是计算机科学家,我们必须信任我们使用的所有软件的开发人员。事实上,我们必须信任所有我们自己不建造/编程/制造的东西的制造商。
然而,开源软件为你和世界其他地方提供了源代码。因此,一般的想法是,如果软件中有任何缺陷,就会有人注意到并报告。而闭源软件则不存在这样的事情。
答案3
请注意,tex live 中的所有内容都来自 ctan,无论以何种方式。
在我担任 CTA 管理员期间,CTA 上出现过两次“检测到”病毒的通知。第一次是在 90 年代,有人抱怨一个文件姓名与当时已知的某种病毒相匹配;其内容当然是完全无害的。
第二次警报更近一些,但再次被证明是虚惊一场。
我听说至少有些人对 ctan 副本运行病毒扫描程序;这些人没有向我们报告任何问题。
在我看来,只要你小心谨慎地使用从 tex 外部获取数据,ctan 的 tex 代码出现问题的可能性就微乎其微\write 18。我从未听说过任何问题报告,即使是来自那个(公认的不可靠的)设施。
答案4
我认为 TeX Live 的绝大部分内容都用于字体和宏包。这些是被动文件,不执行任何操作,也不能“运行”,因此是安全的。有少数可执行二进制文件(例如pdflatex)和脚本(latexdiff)旨在执行操作,因此可能带来安全风险。来自这个问题在我看来,这些二进制文件是由 TeX Live 团队从源代码构建的。这意味着 CTAN 团队还有机会发现需要编译的恶意 CTAN 贡献。另一方面,脚本则完全无法预测。运行深奥的脚本和二进制文件时,您应该小心谨慎。
对于软件包,LaTeX 文件可能会加载软件包,这样当由其编译时,pdflatex它就会充当恶意软件。运行新版本的pdflatex(其中\openout已沙盒化,未shell-escape启用)应该可以降低这些风险。同样,对于深奥的软件包,您应该看看它的作用。