ubuntu 如何确保来自外部开发人员的软件安全

Question

安全/责任有多个级别：

开发人员：
- 编写源代码 -> 检查自己代码和其他开发人员代码的安全性
- 管理代码存储库 -> 在接受补丁之前应进行检查，确保存储库安全
- 提供源下载 -> 应保证下载站点的安全，提供签名的 tarball 和校验和
封装工具链：
- 打包者：应正确打包（配置选项、配置文件、安装前/安装后脚本）、签名包
- 存储库管理员：正确审查软件包提交
- 分发管理器：确保下载、校验和、签名等的安全
- 全部：确保安全修复程序尽快进入发行版软件包存储库。
- 更多信息：https://wiki.ubuntu.com/MOTU
安全代理：
- 确保下载的软件包和更新未被篡改（校验和及签名检查）
- 更多信息：
  - https://wiki.debian.org/SecureApt
  - https://help.ubuntu.com/community/SecureApt
用户：
- 由于 Ubuntu 软件包的大部分代码都是开源的，并且打包/签名/等过程都有记录，因此任何人都可以检查安全问题并报告异常行为。
- 应该定期更新，但如果可能的话，也应关注安全新闻，以防软件更新或 .iso 文件受到损害…… :/ （例如：http://blog.linuxmint.com/?p=2994）
- 在安装之前检查 .iso 文件（校验和+签名，避免非官方来源）
- 不要忽略类似“警告：无法验证以下包！”的警告：为什么我会收到来自 Ubuntu 存储库的软件包的身份验证错误？

Ubuntu 开发人员是否会审查他们放入存储库的所有软件，或者他们是否相信该软件是安全的并且仍然托管它？

我猜他们主要信任原始开发人员（和用户报告问题）。但如果发现任何安全问题，所有相关人员都应合作尽快修补问题。如果 Ubuntu 收到错误报告，他们应该将信息传输到上游（即开发人员），反之亦然，如果开发人员发现错误，他们应该快速修补并通知下游（即打包者）。每个人都应该保证私钥安全，如果密钥被泄露，应撤销密钥。

附言：您可能会发现有关https://security.stackexchange.com/也一样。

Answer 1

安全/责任有多个级别：

开发人员：
- 编写源代码 -> 检查自己代码和其他开发人员代码的安全性
- 管理代码存储库 -> 在接受补丁之前应进行检查，确保存储库安全
- 提供源下载 -> 应保证下载站点的安全，提供签名的 tarball 和校验和
封装工具链：
- 打包者：应正确打包（配置选项、配置文件、安装前/安装后脚本）、签名包
- 存储库管理员：正确审查软件包提交
- 分发管理器：确保下载、校验和、签名等的安全
- 全部：确保安全修复程序尽快进入发行版软件包存储库。
- 更多信息：https://wiki.ubuntu.com/MOTU
安全代理：
- 确保下载的软件包和更新未被篡改（校验和及签名检查）
- 更多信息：
  - https://wiki.debian.org/SecureApt
  - https://help.ubuntu.com/community/SecureApt
用户：
- 由于 Ubuntu 软件包的大部分代码都是开源的，并且打包/签名/等过程都有记录，因此任何人都可以检查安全问题并报告异常行为。
- 应该定期更新，但如果可能的话，也应关注安全新闻，以防软件更新或 .iso 文件受到损害…… :/ （例如：http://blog.linuxmint.com/?p=2994）
- 在安装之前检查 .iso 文件（校验和+签名，避免非官方来源）
- 不要忽略类似“警告：无法验证以下包！”的警告：为什么我会收到来自 Ubuntu 存储库的软件包的身份验证错误？

Ubuntu 开发人员是否会审查他们放入存储库的所有软件，或者他们是否相信该软件是安全的并且仍然托管它？

我猜他们主要信任原始开发人员（和用户报告问题）。但如果发现任何安全问题，所有相关人员都应合作尽快修补问题。如果 Ubuntu 收到错误报告，他们应该将信息传输到上游（即开发人员），反之亦然，如果开发人员发现错误，他们应该快速修补并通知下游（即打包者）。每个人都应该保证私钥安全，如果密钥被泄露，应撤销密钥。

附言：您可能会发现有关https://security.stackexchange.com/也一样。

ubuntu 如何确保来自外部开发人员的软件安全

答案1

相关内容