Które repozytoria Ubuntu są całkowicie bezpieczne i wolne od złośliwego oprogramowania?

Czytałem w wiadomościach o wszystkich szkodliwych programach, które infekują system operacyjny Android. Złośliwe oprogramowanie znajduje się w sklepie Google App Store, a ludzie nieświadomie go pobierają i instalują.

Jak rozumiem, główne repozytorium Ubuntu jest dla mnie bezpieczne do pobrania (nie zarażę się tym złośliwym oprogramowaniem), ponieważ inżynierowie Canonical sprawdzają oprogramowanie. Ale co z innymi repozytoriami, zwłaszcza repozytorium Wszechświata? Czy repozytorium Universe jest poddawane jakiejkolwiek recenzji w celu ochrony przed złośliwym oprogramowaniem? Czy zaleca się unikanie repozytorium Universe z obawy przed nieświadomym pobraniem z niego złośliwego oprogramowania?

Przeczytałem, że umowy PPA są szczególnie niebezpieczne, ponieważ nie są recenzowane. Zakładam jednak, że korzystanie z PPA Google Chrome jest całkowicie bezpieczne.

Więc jeśli użyję tylko repozytoriów Main & Universe i PPA Google Chrome, czy będę chroniony przed nieświadomym pobieraniem złośliwego oprogramowania?

Jeśli Ubuntu zyska setki milionów użytkowników, jak przewiduje Mark Shuttleworth, czy umowy PPA z Ubuntu nie staną się problemem złośliwego oprogramowania dla Ubuntu, podobnie jak Google App Store dla Androida?

Wszystkie oficjalne repozytoria Ubuntu (obejmujące wszystko, co można znaleźć na nim archive.ubuntu.comlub jego kopiach lustrzanych, a także niektóre inne) są całkowicie wyleczone. To oznacza main, restricted, universe, multiverse, jak -updatesi -security. Wszystkie tam zawarte pakiety pochodzą z Debiana (a więc zostały przesłane przez programistę Debian) lub zostały przesłane przez programistę Ubuntu; w obu przypadkach przesyłany pakiet jest uwierzytelniany za pomocą podpisu gpg osoby przesyłającej.

Dlatego możesz ufać, że każdy pakiet w oficjalnych archiwach został przesłany przez dewelopera Debiana lub Ubuntu. Co więcej, pobrane pakiety można zweryfikować za pomocą sygnatur gpg na plikach w repozytorium, dzięki czemu możesz mieć pewność, że każdy pobrany pakiet został zbudowany na farmie kompilacji Ubuntu ze źródła przesłanego przez dewelopera Ubuntu lub Debiana¹.

To sprawia, że ​​całkowite złośliwe oprogramowanie jest mało prawdopodobne - ktoś zaufany musiałby go przesłać, a przesyłanie byłoby dla niego łatwe do zidentyfikowania.

Pozostawia to kwestię bardziej skrytej nikczemności. Deweloperzy wyższego szczebla mogą umieszczać backdoory w innym przydatnym oprogramowaniu, które może dostać się do archiwum - w universelub multiverse, w zależności od licencji. Ludzie przeprowadzają audyty bezpieczeństwa archiwum Debiana, więc jeśli to oprogramowanie stanie się popularne, prawdopodobnie zostanie wykryte tylne wejście.

Pakiety mainmają dodatkowe sprawdzanie i zyskują więcej miłości od zespołu bezpieczeństwa Ubuntu.

Umowy PPA prawie tego nie mają. Gwarancją, którą otrzymujesz z PPA, jest to, że pobierane pakiety zostały zbudowane na infrastrukturze kompilacji Ubuntu i zostały przesłane przez osobę mającą dostęp do jednego z kluczy GPG konta Launchpad wymienionego programu do przesyłania. Nie ma gwarancji, że przesyłający jest tym, za kogo się podaje - każdy może zrobić „Google Chrome PPA”. Musisz określić zaufanie w inny sposób dla umów PPA.

¹: Ten łańcuch zaufania może zostać przerwany przez rozległą ingerencję w infrastrukturę Ubuntu, ale dotyczy to każdego systemu. Kompromis klucza programisty gpg pozwoliłby również czarnemu kapeluszowi na przesyłanie pakietów do archiwum, ale ponieważ archiwum przesyła pocztą elektroniczną do każdego z pakietów, należy to szybko zauważyć.

Wszystkie pakiety w repozytoriach Ubuntu przed przesłaniem są sprawdzane i przeglądane przez MOTU (Masters of the Universe). MOTU to odważne dusze, które utrzymują kształt Wszechświata i Multiwersum Ubuntu. Są członkami społeczności, którzy spędzają czas na dodawaniu, utrzymywaniu i wspieraniu w jak największym stopniu oprogramowania znalezionego we Wszechświecie. Dlatego nie ma szans na włamanie się tych pakietów do komputera i kradzież danych. Jednak pakiety te mogą zawierać błędy bezpieczeństwa, które są wadami w oprogramowaniu. Również niektóre programy zawierające zabezpieczenia są dostępne w Ubuntu (na przykład rejestratory kluczy), ale te pakiety nie ukradną danych (chyba że ktoś celowo zainstaluje je na twoim komputerze).

Mam nadzieję że to pomoże. Aby uzyskać więcej informacji, zobacz stronę wiki Ubuntu MOTU .

Przebywanie w repozytoriach Main i Universe jest bardzo bezpieczne, podobnie jak PPA, jeśli są szczególnie popularne (przez większość czasu) lub wiesz, że będą bezpieczne (jak Google Chrome PPA. Wątpię, by Google umieść w nim wszelkiego rodzaju złośliwe oprogramowanie.) Jeśli korzystasz z Main, Universe i PPA Google Chrome, będziesz bezpieczny.

Jeśli Ubuntu zyska masę użytkowników, to tak, prawdopodobnie będzie więcej złośliwego oprogramowania. Nie sądzę jednak, by było wystarczająco dużo, aby stanowić prawdziwy problem.