答案1
是否有一个流程可以确保没有恶意软件?不。根本没有任何保证。
然而,有几种机制可以尝试检测它,但尽管我不想太过于悲观,但如果我们诚实的话,你可能并不像你想象的那么安全。
首先,项目必须添加到 Ubuntu。正如 Rinzwind 所说,在此阶段会进行检查,但这实际上只是 Ubuntu 软件包生命周期的冰山一角。
长期软件包的第一道防线是其项目维护者。这些人负责照看他们的项目并接受补丁以改进项目。他们是人。他们会犯错,会错过事情。有些人可能很懒惰。
不法之徒可能会通过在恶意软件中加入真正的改进来偷偷植入一些恶意软件。
如果项目维护者允许某些不良内容进入项目,那么除了成功的审核之外,这些代码很有可能最终会出现在 Ubuntu 用户的机器上。
安全审计是第二步。这是检查代码并根据监视器运行代码以检测不良情况。据我所知,没有一个官方的 Canonical 团队专门负责安全工作,但有两个社区团队(Ubuntu Security 和 MOTU SWAT)处理它们之间的所有包。
审计只有在每行代码在发布给用户之前都经过适当检查的情况下才能真正发挥作用。对于我们讨论的代码量和更新次数来说,这实际上并不实用。这样做会花费大量的时间和金钱。
在开源世界中,有一种假设,即仅仅因为某人能查看源代码,他们有。这是一种非常危险的精神。
安全修复主要是针对人们发现和披露漏洞做出的反应。如果有人披露了他们发现的漏洞,会发生什么?
其他“最终用户”报告问题是最终的真正检测机制,老实说,好的恶意软件不会让用户知道有问题,直到为时已晚。编写良好的恶意软件不会翻转您的屏幕或窃取您的所有带宽,它会待在后台,记录您的所有银行详细信息,然后将它们全部发布到某个匿名转储中。
整个过程都依赖于上游项目来维护自己的安全级别。如果有人从 Gnome 计算器的维护者那里偷偷溜走了,那么其他人很可能会错过它。安全团队也永远不会怀疑到它。
值得庆幸的是最多维护人员非常擅长自己的工作。他们了解自己的代码库,如果他们不理解补丁,他们会以补丁不够清晰为由拒绝它们。
在风险评估方面,使用不太流行的代码,可能会有更少的人检查代码。但同样,提交次数也可能更少,因此只要维护者不懒惰(或邪恶),他们可能会有更多时间处理每次提交。很难确切地说你面临多大的风险。开源软件的安全性取决于有能力的人检查代码。
相反,闭源项目(在合作伙伴和购买存储库中)完全未经社区审核。Canonical 可能有一些源代码访问权限,但坦率地说,即使他们有源代码访问权限并且愿意这样做,我怀疑他们是否有资源进行彻底的审核。
同样,对于 PPA,除非您亲自深入研究源代码,否则您将获得很少的保护。用户可以将他们喜欢的任何内容添加到源代码中,除非您亲自检查(并且您有能力检测恶意软件),否则您就像被狼包围的绵羊。人们可以报告不良 PPA,但事情的发生取决于其他人检查和确认问题。如果一个大型网站(例如 OMGUbuntu)推荐了 PPA(他们经常这样做),很多用户可能会遇到问题。
问题更加严重的是,Linux 用户的市场份额较低,这意味着可供我们追踪不良代码的软件数量会更少。我不愿意这么说,但至少在 Windows 上,有数十家公司每天都在研究不良软件的工作原理、如何检测和如何删除它。这是一个因需要而产生的市场,虽然我也不愿意这么说,但情况可能会先变得更糟,然后再好转。
对于那些担心安全的人们,我前段时间写了一篇简短的文章:Linux 并非坚不可摧。不要说它是。。将东西偷偷放入存储库可能不会成为传播恶意软件的混蛋的主要攻击媒介。更有可能的是(在我看来)他们会利用用户的贪婪和愚蠢来让他们安装受感染的 .debs。
答案2
是的。软件包经过社区检查(因此,有人可能会安装一些恶意软件,但这个消息会迅速传遍所有用户)。
应用程序需要遵守许可。
新软件包的 wiki 页面还有更多信息:
通过 MOTU
尚未在 Ubuntu 中发布的软件包需要经过额外的审查,并经过特殊的审核流程,然后才能上传并由档案管理员。有关审查流程的更多信息,包括将适用的标准,可在代码审阅者页面。鼓励开发人员在提交软件包进行审核之前,先使用这些指南检查自己的软件包。
要接收更高质量的错误报告,请写apport 钩子您的包裹。
话虽如此,但总体思路是这样的。如果你发现任何可疑的东西,你可以在 launchpad、askubuntu、ubuntuforums 上报告,有人会发现的。
可能发生的情况是,恶意软件的创建者制作了一个有效的软件包,让它被接受,然后进行添加恶意软件的更新。许多人中至少有一个人总是会发现这一点,他/她会把这件事报告给某个地方。这样它就不会进入很多机器。(将它放入我们的机器上所付出的努力与潜在的回报相比太大了:针对 Windows 机器要容易得多)。
事情变得非常糟糕的例子熊蜂。有人漏掉了一个空格,导致 /usr 被删除……有些人受到了影响,1 人发布了带有红旗的警告,现在我们都知道了。创建者修复了它(比光速还快),但损坏了几个系统。这是一个错误,不是故意的,所以会发生这种情况 ;)
答案3
我认为没有人能向你保证这一点。你必须检查将软件包添加到 Debian 软件包索引中需要发生什么,但我认为你应该能够将一些邪恶的东西塞进去。
您可以设置虚拟机并在那里试用该软件,然后可以使用类似的东西查看网络流量,iftop看看这个应用程序是否与家庭对话。很可能你永远看不到任何东西,因为它隐藏得太好。
开源并不意味着安全,仅仅因为你可以查看代码并不意味着有人这样做了。
答案4
为了在 launchpad 上发布 PPA 中的代码,您需要设置 openPGP 并创建一个附加到电子邮件地址的密钥。为了对软件包进行签名,您需要本地计算机上的私钥副本和密码(该密码未存储在任何地方)。如果软件包存在安全问题,应该相对容易找到作者。我假设 Ubuntu 和 Debian 的主要存储库至少是安全的。
大多数开源项目都有一个中央存储库,至少具有 ssh 级别保护(密码和/或公钥/私钥对)。在这里获取未经授权的访问比 ppa 更容易一些,但并非易事。版本控制系统通常会记录每次提交的用户,并且可以相当轻松地找出提交的内容。
人们总是可以尝试在补丁中偷偷添加一些东西,但这是一个冒险的提议。大多数程序员不会接受太大而难以阅读的补丁。如果你被抓住了,那就完了。
仍有一定程度的可信度,因此有人可能会将间谍软件植入 Ubuntu。如果 Ubuntu 的市场份额大幅增长,我们或许会担心这一点。