我正在阅读有关针对 Transmission Bittorrent 客户端的黑客攻击的文章。http://arstechnica.com/security/2016/03/first-mac-targeting-ransomware-hits-transmission-users-researchers-say/
这让我开始思考 Ubuntu 如何保护自己免受此类事情的侵害。Ubuntu 开发人员是否会审查他们放在存储库中的所有软件,还是他们相信软件是安全的并仍然托管它?
答案1
安全/责任有多个级别:
开发人员:
- 编写源代码 -> 检查自己代码和其他开发人员代码的安全性
- 管理代码存储库 -> 在接受补丁之前应进行检查,确保存储库安全
- 提供源下载 -> 应保证下载站点的安全,提供签名的 tarball 和校验和
封装工具链:
- 打包者:应正确打包(配置选项、配置文件、安装前/安装后脚本)、签名包
- 存储库管理员:正确审查软件包提交
- 分发管理器:确保下载、校验和、签名等的安全
- 全部:确保安全修复程序尽快进入发行版软件包存储库。
- 更多信息:https://wiki.ubuntu.com/MOTU
安全代理:
- 确保下载的软件包和更新未被篡改(校验和及签名检查)
更多信息:
用户:
- 由于 Ubuntu 软件包的大部分代码都是开源的,并且打包/签名/等过程都有记录,因此任何人都可以检查安全问题并报告异常行为。
- 应该定期更新,但如果可能的话,也应关注安全新闻,以防软件更新或 .iso 文件受到损害…… :/ (例如:http://blog.linuxmint.com/?p=2994)
- 在安装之前检查 .iso 文件(校验和+签名,避免非官方来源)
- 不要忽略类似“警告:无法验证以下包!”的警告:为什么我会收到来自 Ubuntu 存储库的软件包的身份验证错误?
Ubuntu 开发人员是否会审查他们放入存储库的所有软件,或者他们是否相信该软件是安全的并且仍然托管它?
我猜他们主要信任原始开发人员(和用户报告问题)。但如果发现任何安全问题,所有相关人员都应合作尽快修补问题。如果 Ubuntu 收到错误报告,他们应该将信息传输到上游(即开发人员),反之亦然,如果开发人员发现错误,他们应该快速修补并通知下游(即打包者)。每个人都应该保证私钥安全,如果密钥被泄露,应撤销密钥。
附言:您可能会发现有关https://security.stackexchange.com/也一样。