สปายแวร์โปรแกรมใน Ubuntu Software Center ฟรีหรือไม่


35

ในศูนย์ซอฟต์แวร์ Ubuntu มีส่วนต่าง ๆ สำหรับโปรแกรม

  • จัดหาโดย Ubuntu
  • Canonical Partners
  • สำหรับการซื้อ

ฉันรู้ว่าทั้งหมดนี้เป็นโอเพนซอร์ซ แต่มีกระบวนการตรวจสอบที่ Canonical ทำเพื่อให้แน่ใจว่าปราศจากสปายแวร์หรือมัลแวร์หรือไม่

ฉันสงสัยว่าทุกคนจะมีเวลาได้ดูโปรแกรมเหล่านี้ (2355 โปรแกรมหรือตอนนี้) โค้ดซอฟต์แวร์ที่มีให้สำหรับทุกรุ่น !!

ฉันกังวลเพราะฉันติดตั้งซอฟต์แวร์ที่ไม่เป็นที่นิยมจากศูนย์ซอฟต์แวร์เป็นประจำ :)


1
ซอฟต์แวร์ "For Purchase" ไม่ใช่โอเพ่นซอร์สมิฉะนั้นผู้ใช้จะไม่จำเป็นต้องซื้อ และซอฟต์แวร์พันธมิตรไม่ได้เป็นโอเพ่นซอร์สเสมอ Skype จะไม่เปิดเช่น
Martin Ueding

8
@queueoverflow เป็นไปได้ที่จะเรียกเก็บเงินสำหรับซอฟต์แวร์โอเพนซอร์ซ
dv3500ea

3
@queueoverflow: qtiplot เป็นตัวอย่างหนึ่งที่เรียกเก็บค่าบริการไบนารีและสัญญาการสนับสนุนคุณสามารถรวบรวมได้ฟรี :-)
Christoph

2
ฉันไม่คิดว่าจะมีซอฟต์แวร์โอเพ่นซอร์สใด ๆ ในส่วนสำหรับการซื้อ แต่อาจมีในอนาคต
dv3500ea

1
@ Christoph: ฉันคิดว่าคนส่วนใหญ่ไม่ทราบวิธีการรวบรวมดังนั้นจึงเหมาะสมที่จะจัดการกับมันอย่างนั้น
Martin Ueding

คำตอบ:


27

มีกระบวนการที่จะทำให้แน่ใจว่าไม่มีมัลแวร์หรือไม่? เลขที่มีไม่รับประกันเลย

อย่างไรก็ตามมีกลไกหลายอย่างที่จะลองและตรวจจับได้ แต่ในขณะที่ฉันไม่ต้องการที่จะลงโทษและเศร้าหมองเกินไปถ้าเราซื่อสัตย์คุณอาจไม่ปลอดภัยเท่าที่คุณต้องการ

  1. โปรเจคแรกจะต้องเพิ่มเข้าไปใน Ubuntu ตามที่ Rinzwind พูดไว้การตรวจสอบจะทำในขั้นตอนนี้ แต่นั่นเป็นเพียงส่วนเล็ก ๆ ของภูเขาน้ำแข็งที่เป็นชีวิตของแพ็คเกจใน Ubuntu

  2. แนวป้องกันแรกที่แท้จริงสำหรับแพ็คเกจระยะยาวคือผู้ดูแลโครงการของพวกเขา คนเหล่านี้ดูแลโครงการของพวกเขาและยอมรับการแก้ไขเพื่อปรับปรุง พวกเขาเป็นมนุษย์ พวกเขาทำผิดพลาดและพลาดสิ่งต่าง ๆ และบางคนอาจขี้เกียจ

    เป็นไปได้ว่าคนร้ายสามารถแอบดูมัลแวร์บางตัวที่ผ่านมาโดยรวมถึงการปรับปรุงของแท้พร้อมกับมัลแวร์

    หากผู้ดูแลรักษาโครงการยอมรับสิ่งที่ไม่ดีให้บันทึกการตรวจสอบที่ประสบความสำเร็จโอกาสที่รหัสนั้นจะจบลงที่เครื่องของผู้ใช้ Ubuntu

  3. การตรวจสอบความปลอดภัยเป็นขั้นตอนที่สอง นี่คือการตรวจสอบรหัสและเรียกใช้กับจอภาพเพื่อตรวจสอบสิ่งที่ไม่ดี เท่าที่ฉันรู้ไม่มีทีม Canonical อย่างเป็นทางการที่อุทิศตนเพื่อความปลอดภัย แต่มีทีมชุมชนสองทีม (Ubuntu Security และ MOTU SWAT) ที่จัดการแพคเกจทั้งหมดระหว่างพวกเขา

    การตรวจสอบใช้งานได้จริง ๆ เท่านั้นหากตรวจสอบทุกบรรทัดของรหัสอย่างถูกต้องก่อนที่ผู้ใช้จะออกไป สิ่งนี้ไม่สามารถใช้ได้จริงกับจำนวนรหัสและจำนวนการอัปเดตที่เรากำลังพูดถึง มันต้องใช้เวลาและเงินจำนวนมากในการทำเช่นนี้

    มีข้อสันนิษฐานในโลกโอเพนซอร์ซที่มีคนเพียงคนเดียวที่สามารถดูแหล่งข้อมูลได้ นี่เป็นจรรยาบรรณที่อันตรายมากในการรักษา

    การแก้ไขความปลอดภัยส่วนใหญ่เป็นปฏิกิริยาตอบสนองต่อการค้นหาและการเปิดเผยของผู้คน จะเกิดอะไรขึ้นถ้ามีคนเปิดเผยรูที่พวกเขาพบ

  4. ปัญหาการรายงาน "ผู้ใช้ขั้นสุดท้าย" อื่น ๆ เป็นกลไกการตรวจจับขั้นสุดท้ายจริง ๆ และขอบอกตรงๆมัลแวร์ที่ดีจะไม่ยอมให้ผู้ใช้รู้ว่ามีปัญหาจนกว่าจะสายเกินไปที่จะสร้างความแตกต่าง มัลแวร์ที่เขียนมาอย่างดีนั้นจะไม่พลิกหน้าจอของคุณหรือขโมยแบนด์วิดท์ทั้งหมดของคุณมันจะอยู่ที่นั่นในพื้นหลังบันทึกรายละเอียดธนาคารทั้งหมดของคุณก่อนที่จะโพสต์พวกเขาทั้งหมด

กระบวนการทั้งหมดขึ้นอยู่กับโครงการต้นน้ำเพื่อรักษาระดับความปลอดภัยของตนเอง ถ้าใครบางคนลื่นอะไรบางอย่างที่ผ่านมาผู้ดูแลเครื่องคิดเลขของ Gnome โอกาสที่ทุกคนจะพลาดไม่ได้ ทีมรักษาความปลอดภัยจะไม่สงสัยด้วยเช่นกัน

โชคดีที่ผู้ดูแลส่วนใหญ่เก่งในสิ่งที่พวกเขาทำ พวกเขารู้โค้ดเบสของพวกเขาและหากพวกเขาไม่เข้าใจแพทช์พวกเขาจะปฏิเสธพวกเขาบนพื้นฐานที่ว่าพวกเขายังไม่ชัดเจนพอ

ในแง่ของการประเมินความเสี่ยงโดยการใช้บางสิ่งที่เป็นที่นิยมน้อยกว่ามีแนวโน้มน้อยกว่าที่จะตรวจสอบรหัส แต่ในทำนองเดียวกันอาจมีข้อผูกพันน้อยกว่าดังนั้นตราบใดที่ผู้ดูแลไม่ขี้เกียจ (หรือชั่วร้าย) พวกเขาอาจมีเวลามากขึ้นในการจัดการกับการกระทำแต่ละอย่าง เป็นการยากที่จะบอกว่าคุณเสี่ยงมากแค่ไหน ความปลอดภัยของซอฟต์แวร์โอเพ่นซอร์สนั้นขึ้นอยู่กับผู้ที่มีความสามารถในการดูรหัส

ในทางกลับกันรายการปิดแหล่งที่มา (ในพันธมิตรและการซื้อคืน) ไม่ได้รับการตรวจสอบโดยชุมชนอย่างสมบูรณ์ Canonical อาจมีการเข้าถึงแหล่งข้อมูลบางอย่าง แต่ตรงไปตรงมาฉันสงสัยว่าพวกเขามีทรัพยากรที่จะให้การตรวจสอบอย่างละเอียดแม้ว่าพวกเขาจะมีการเข้าถึงแหล่งและต้องการ

เช่นเดียวกับ PPAs คุณจะได้รับความคุ้มครองน้อยมากเว้นแต่คุณจะต้องการดำดิ่งลงสู่แหล่งของตัวเอง ผู้ใช้สามารถเพิ่มสิ่งที่พวกเขาชอบลงในซอร์สโค้ดและถ้าคุณไม่ได้ตรวจสอบด้วยตัวคุณเอง (และคุณสามารถตรวจจับมัลแวร์ได้) คุณจะเป็นแกะที่ล้อมรอบด้วยหมาป่า ผู้คนสามารถรายงาน PPA ที่ไม่ดีได้ แต่สิ่งที่เกิดขึ้นนั้นขึ้นอยู่กับคนอื่นที่ตรวจสอบและยืนยันปัญหา หากเว็บไซต์ขนาดใหญ่ (เช่น OMGUbuntu) แนะนำ PPA (เช่นที่พวกเขามักจะทำ) ผู้ใช้จำนวนมากอาจมีปัญหาในบรรทัด

เพื่อเพิ่มปัญหาส่วนแบ่งการตลาดที่ลดลงของผู้ใช้ Linux หมายความว่ามีซอฟต์แวร์เพียงเล็กน้อยเท่านั้นที่เราสามารถค้นหารหัสที่ไม่ดีได้ ฉันเกลียดที่จะพูดอย่างนั้น แต่อย่างน้อยใน Windows คุณมีหลายสิบ บริษัท ที่ใช้จ่ายทุกวันทำการค้นหาว่าซอฟต์แวร์ไม่ดีทำงานอย่างไรตรวจสอบและกำจัดอย่างไร นั่นเป็นตลาดที่เกิดจากความจำเป็นและในขณะที่ฉันเกลียดที่จะพูดเช่นนี้สิ่งต่าง ๆ อาจจะแย่ลงที่นี่ก่อนที่พวกเขาจะดีขึ้น

สำหรับความหวาดระแวงด้านความปลอดภัยฉันได้เขียนบทความสั้น ๆ เมื่อไม่นานมานี้: Linux ไม่สามารถทำลายได้ อย่าพูดว่าเป็น . สิ่งที่แอบเข้าไปในพื้นที่เก็บข้อมูลอาจจะไม่เป็นเวคเตอร์การโจมตีหลักสำหรับ asshats ที่กระจายมัลแวร์ มีแนวโน้มมากขึ้น (IMO) ที่พวกเขาจะเล่นบนความโลภและความโง่เขลาของผู้ใช้เพื่อให้พวกเขาติดตั้ง. deb


3
สิ่งที่ดีเกี่ยวกับที่เก็บข้อมูลที่ตรวจสอบแล้วคือโดยทั่วไปแล้วพวกเขาจะมีขนาดที่ใหญ่กว่ามีความปลอดภัยมากกว่าการติดตั้งซอฟต์แวร์ในรูปแบบที่ไม่ใช่พื้นที่เก็บข้อมูลเช่นติดตั้งอะไรก็ได้จาก exe ดังนั้นใช่คุณจะไม่ปลอดภัย แต่โดยทั่วไปคุณอาจปลอดภัย
Kzqai

คุณหมายถึงการเขียนจะเกิดอะไรขึ้นถ้าใครเปิดเผยหลุมที่พวกเขาได้พบกับ ?
tshepang

25

ใช่. ชุมชนตรวจสอบแพคเกจ (ดังนั้น 1 อาจติดตั้งมัลแวร์บางส่วน แต่ข่าวนั้นจะแพร่กระจายอย่างรวดเร็วในหมู่ผู้ใช้ทั้งหมด)

ปพลิเคชันจะต้องปฏิบัติตามกฎระเบียบที่เข้มงวดมากที่ระบุไว้ในใบอนุญาต

หน้า wiki สำหรับแพ็คเกจใหม่มีข้อมูลเพิ่มเติม:

จะผ่าน MOTU

แพคเกจที่ไม่ได้อยู่ในอูบุนตูยังจำเป็นต้องมีการตรวจสอบข้อเท็จจริงเพิ่มเติมและไปผ่านกระบวนการตรวจสอบพิเศษก่อนที่พวกเขาจะได้รับการอัปโหลดและได้รับการตรวจสอบขั้นสุดท้ายโดยผู้ดูแลระบบเก็บ ข้อมูลเพิ่มเติมเกี่ยวกับกระบวนการตรวจสอบรวมถึงเกณฑ์ที่จะถูกนำมาใช้สามารถพบได้บนหน้ารหัสตรวจสอบ ผู้พัฒนาได้รับการสนับสนุนให้ตรวจสอบแพ็คเกจของตัวเองโดยใช้หลักเกณฑ์เหล่านี้ก่อนที่จะส่งพวกเขาเพื่อตรวจสอบ

หากต้องการรับรายงานข้อผิดพลาดคุณภาพสูงให้เขียนapport hookสำหรับแพ็คเกจของคุณ

ที่กล่าวว่า: ความคิดทั่วไปคือ หากคุณพบสิ่งที่น่าสงสัยที่คุณรายงานบน launchpad, Askubuntu, ubuntuforums และบางคนจะหยิบมันขึ้นมา

สิ่งที่อาจเกิดขึ้นคือผู้สร้างมัลแวร์สร้างแพ็คเกจที่ถูกต้องได้รับการยอมรับจากนั้นทำการอัปเดตที่เพิ่มมัลแวร์ อย่างน้อยหนึ่งในหลาย ๆ คนมักจะจับสิ่งนี้และเขา / เธอจะรายงานเรื่องนี้ที่ไหนสักแห่ง มันจะไม่เข้ากับเครื่องจักรจำนวนมากด้วยวิธีนี้ (ความพยายามในการติดตั้งลงในเครื่องของเรานั้นมากเกินไปสำหรับรางวัลที่เป็นไปได้: การกำหนดเป้าหมายเครื่อง windows ง่ายกว่ามาก

ตัวอย่างของสิ่งที่จะชะมัดผิดปกติกับbumblebee บางคนพลาดช่องว่างและ / usr ถูกลบ ... บางคนได้รับผลกระทบ 1 โพสต์คำเตือนด้วยธงสีแดงและตอนนี้เราทุกคนรู้แล้ว ผู้สร้างแก้ไขมัน (เร็วกว่าความเร็วแสง) แต่ความเสียหายเกิดขึ้นกับหลาย ๆ ระบบ และนี่เป็นข้อผิดพลาดและไม่ได้ตั้งใจเพื่อให้สามารถเกิดขึ้นได้)


4
ควรสังเกตว่ามีความเสี่ยงที่เกี่ยวข้องกับแหล่งข้อมูลอื่น ๆ ซึ่งรวมเข้ากับศูนย์ซอฟต์แวร์ Ubuntu เช่น Getdeb หรือ PPA ต่างๆ อย่างไรก็ตามหากคุณไม่ได้ใช้สิ่งเหล่านี้คุณควรจะปลอดภัย
jnv

@jnv โทรดี :) ฉันเปลี่ยนบรรทัดที่ 1 และตอนนี้รวมถึง PPAS ด้วย;)
22414 Rinzwind

ตัวอย่างของคุณไม่ถูกต้อง bumblebee ไม่มีอยู่ใน repos
Lincity

ฉันไม่เห็นด้วย. สิ่งใดก็ตามที่ได้รับการติดตั้งจะได้รับการประเมินอย่างเท่าเทียมกัน: ผู้ใช้ทำการตรวจสอบดังนั้นจึงเป็นตัวอย่างที่ถูกต้องของบางสิ่งโดยไม่ตั้งใจ (!) ที่ผิดพลาด ดังนั้นการทำตามวัตถุประสงค์จึงเป็นไปได้ แต่สิ่งที่ต้องให้ความสำคัญคือผู้ใช้บอกคนอื่นว่ามีข้อบกพร่อง ไม่ใช่ข้อบกพร่องเอง;)
Rinzwind

คำถามเกี่ยวกับศูนย์ซอฟต์แวร์
Lincity

5

ฉันคิดว่าไม่มีใครสามารถรับรองคุณได้ว่า คุณจะต้องตรวจสอบสิ่งที่จะเกิดขึ้นเพื่อให้แพ็กเกจถูกเพิ่มเข้าไปในดัชนีแพคเกจ Debian แต่ฉันคิดว่าคุณน่าจะสามารถใส่สิ่งที่ชั่วร้ายลงไปได้

คุณสามารถตั้งค่าเครื่องเสมือนและลองใช้ซอฟต์แวร์ที่นั่นคุณสามารถตรวจสอบปริมาณการใช้งานเครือข่ายด้วยสิ่งที่ต้องการiftopดูว่าแอปพลิเคชันนี้พูดถึงที่บ้านหรือไม่ โอกาสที่คุณจะไม่เห็นอะไรเลยเพราะมันถูกซ่อนไว้อย่างดี

โอเพ่นซอร์สไม่ได้หมายถึงความปลอดภัยเพียงเพราะคุณสามารถดูรหัสไม่ได้หมายความว่าใครบางคนทำ


2

ในการเผยแพร่รหัสใน PPA บน launchpad คุณจะต้องตั้งค่า openPGP และสร้างรหัสที่แนบมากับที่อยู่อีเมล ในการลงชื่อแพคเกจคุณต้องมีสำเนาของคีย์ส่วนตัวในเครื่องท้องถิ่นและรหัสผ่าน (ซึ่งไม่ได้เก็บไว้ที่ใดก็ได้) หากแพ็คเกจมีปัญหาด้านความปลอดภัยมันควรจะง่ายต่อการติดตามผู้เขียน ฉันสมมติว่าที่เก็บหลักสำหรับ Ubuntu และ Debian นั้นปลอดภัยอย่างน้อย

โครงการโอเพ่นซอร์สส่วนใหญ่มีที่เก็บส่วนกลางที่มีการป้องกันระดับ ssh อย่างน้อย (รหัสผ่านและ / หรือคู่คีย์สาธารณะ / ส่วนตัว) การเข้าถึงที่นี่โดยไม่ได้รับอนุญาตนั้นง่ายกว่า ppa เล็กน้อย แต่ไม่สำคัญ ระบบการกำหนดเวอร์ชันมักจะบันทึกผู้ใช้ที่ทำให้แต่ละการกระทำและทำให้เป็นเรื่องง่ายที่จะคิดออกว่ากระทำอะไร

เราสามารถลองบางสิ่งบางอย่างใส่เข้าไปในปะ แต่นี่เป็นข้อเสนอที่มีความเสี่ยง โคเดอร์ส่วนใหญ่จะไม่ยอมรับแพตช์ที่ใหญ่เกินไปที่จะอ่านได้ง่าย หากคุณถูกจับได้ว่ามันค่อนข้างมาก

ยังมีจำนวนที่เหลือที่จะเชื่อใจดังนั้นจึงเป็นไปได้ที่บางคนอาจได้รับสปายแวร์เข้าสู่ Ubuntu บางทีมันอาจเป็นสิ่งที่เราต้องกังวลหากส่วนแบ่งการตลาดของ Ubuntu เติบโตขึ้นอย่างมาก


ใคร ๆ ก็สามารถสร้างรหัส GPG ได้ ฉันสามารถตั้งค่าเครื่องเสมือนสร้างรหัสด้วยชื่อปลอมและไม่มีใครจะฉลาด คุณต้องมองหาเว็บแห่งความไว้วางใจเพื่อตัดสิน GPG อย่างแท้จริงและแม้แต่นั่นก็ไม่ได้เป็นที่ยอมรับ
Martin Ueding
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.