ubuntu 如何确保来自外部开发人员的软件安全

ubuntu 如何确保来自外部开发人员的软件安全

我正在阅读有关针对 Transmission Bittorrent 客户端的黑客攻击的文章。http://arstechnica.com/security/2016/03/first-mac-targeting-ransomware-hits-transmission-users-researchers-say/

这让我开始思考 Ubuntu 如何保护自己免受此类事情的侵害。Ubuntu 开发人员是否会审查他们放在存储库中的所有软件,还是他们相信软件是安全的并仍然托管它?

答案1

安全/责任有多个级别:

  • 开发人员:

    • 编写源代码 -> 检查自己代码和其他开发人员代码的安全性
    • 管理代码存储库 -> 在接受补丁之前应进行检查,确保存储库安全
    • 提供源下载 -> 应保证下载站点的安全,提供签名的 tarball 和校验和
  • 封装工具链:

    • 打包者:应正确打包(配置选项、配置文件、安装前/安装后脚本)、签名包
    • 存储库管理员:正确审查软件包提交
    • 分发管理器:确保下载、校验和、签名等的安全
    • 全部:确保安全修复程序尽快进入发行版软件包存储库。
    • 更多信息:https://wiki.ubuntu.com/MOTU
  • 安全代理:

  • 用户:

    • 由于 Ubuntu 软件包的大部分代码都是开源的,并且打包/签名/等过程都有记录,因此任何人都可以检查安全问题并报告异常行为。
    • 应该定期更新,但如果可能的话,也应关注安全新闻,以防软件更新或 .iso 文件受到损害…… :/ (例如:http://blog.linuxmint.com/?p=2994
    • 在安装之前检查 .iso 文件(校验和+签名,避免非官方来源)
    • 不要忽略类似“警告:无法验证以下包!”的警告:为什么我会收到来自 Ubuntu 存储库的软件包的身份验证错误?

Ubuntu 开发人员是否会审查他们放入存储库的所有软件,或者他们是否相信该软件是安全的并且仍然托管它?

我猜他们主要信任原始开发人员(和用户报告问题)。但如果发现任何安全问题,所有相关人员都应合作尽快修补问题。如果 Ubuntu 收到错误报告,他们应该将信息传输到上游(即开发人员),反之亦然,如果开发人员发现错误,他们应该快速修补并通知下游(即打包者)。每个人都应该保证私钥安全,如果密钥被泄露,应撤销密钥。

附言:您可能会发现有关https://security.stackexchange.com/也一样。

相关内容