Czy możliwe jest umieszczenie złośliwego oprogramowania w zasobach OpenSource?

Wyobraźmy sobie, że jestem bardzo paranoikiem. Martwię się o moje bezpieczeństwo. Czy to możliwe, aby zarazić podczas instalacji z GitHub, pip, gemlub PPA. Na przykład ktoś uzyskał dostęp do hasła autora i może zmienić jakiś plik. Jak to już się stało z Linux Mint 21 lutego 2016 r .

Jak sprawdzają kod, gdy ktoś „wypycha” go do repozytorium? Jakie jest prawdopodobieństwo, że w kodzie umiejętnie ukryte będzie backdoor? Co mogę zrobić, aby mieć pewność, że jestem bezpieczny podczas instalacji z repozytorium o niskiej ocenie, bez korzystania z maszyn wirtualnych?

Czy możliwe jest umieszczenie złośliwego oprogramowania w zasobach OpenSource?

Tak, tak samo jak w przypadku oprogramowania o zamkniętym źródle.

Jak sprawdzają kod, gdy ktoś „wypycha” go do repozytorium?

To zależy od tego, o jakim repozytorium mówisz, kim jest „oni” i konkretnego projektu.

Jakie jest prawdopodobieństwo, że w kodzie umiejętnie ukryte będzie backdoor?

Biorąc pod uwagę ogromną ilość kodu open source dostępnego na świecie, bardzo niski. Niepokoi Cię jednak szansa, że ​​coś, co pobierzesz i uruchomisz, będzie miało znany problem bezpieczeństwa, który zostanie następnie wykorzystany, oraz efekt tej luki, która jest innym i szerszym pytaniem.

Co mogę zrobić, aby mieć pewność, że jestem bezpieczny podczas instalacji z repozytorium o niskiej ocenie, bez korzystania z maszyn wirtualnych?

Przeczytaj kod, zanim go uruchomisz - to zaleta oprogramowania typu open source. W przeciwnym razie musisz polegać na mglistym „kimś innym”, aby zrobić to za Ciebie, podobnie jak w przypadku oprogramowania zastrzeżonego.