Чи є якась гарантія того, що програмне забезпечення від Launchpad PPA не містить вірусів та загроз на задньому плані?

Оскільки Linux продовжує рости і розвиватися, і чим більше ми використовуємо Linux, тим більша загроза від вірусів.

Ми також знаємо, що вірус / загроза в Linux (якщо є) матиме труднощі із запуском або поширенням, коли він працює як звичайний користувач, але це інша історія, якщо вірус / загроза працює як кореневий користувач.

Прикладом такої небезпеки може бути, якщо вірус застряг всередині PPA (навмисно або ненавмисно) або якщо у програми навмисно посаджено задню панель (наприклад, pidgin може таємно надсилати паролі на певну адресу).

Якщо ми додамо програмне забезпечення від Launchpad PPA, чи є якась гарантія того, що програмне забезпечення є від безкоштовних вірусів / загроз у задньому плані?

Сценарій встановлення кожного пакета має кореневий доступ до вашої системи, тому сам акт додавання PPA або встановлення пакету з одного - це неявна заява про довіру вашого боку власника PPA.

Отже, що станеться, якщо ваша довіра не помічена і власник PPA хоче бути неслухняним?

Для завантаження в PPA пакет повинен бути підписаний ключем GPG, унікальним для користувача стартапа (дійсно, тим самим ключем, з яким вони підписали кодекс поведінки). Тож у випадку відомого зловмисного PPA ми б просто заборонили обліковий запис і закрили PPA (постраждалі системи все одно будуть скомпрометовані, але немає жодного хорошого способу їх виправити в цьому випадку).

Певною мірою соціальні функції Launchpad можуть бути використані як запобіжний захід поганих користувачів - хтось, хто має історію внеску в Ubuntu, і якась усталена карма Launchpad, менше шансів створити PPA пастки.

Або що робити, якщо хтось здобув контроль над PPA, який не є їхнім?

Ну, це трохи жорсткіший сценарій загрози, але також менш вірогідний, оскільки він вимагає, щоб зловмисник отримував як файл приватного ключа користувачів запуску (як правило, лише на їхньому комп’ютері), так і код розблокування для нього (як правило, надійний пароль не використовується для чого-небудь іншого). Якщо це трапиться, однак, звичайно, хтось зрозуміє, що їх обліковий запис порушено (Launchpad, наприклад, надішле їх електронною поштою про пакунки, які вони не завантажують), і процедура очищення була б такою ж.

Отже, підсумовуючи, PPA - це можливий вектор шкідливого програмного забезпечення, але, мабуть, є набагато простіші методи, щоб зловмисники йшли за вами.

Створення (можливо, розподіленого) механізму довіри до рейтингів ПДА вже деякий час є дорожньою картою USC , але вона ще не була реалізована.

Ніколи не існує жодних гарантій, але в середовищі, підтримуваній громадою, ми процвітаємо на «вірі». Я додав до моїх джерел принаймні 20 PPA і ніколи не відчував жодної проблеми. Якщо якимось випадком і, як ви вже згадували, загроза / вірус / бекдорд на моїй системі посаджена PPA, я б дізнався про це якось, люб’язно надавши громаді, і просто її видаляю. І BTW, перед тим, як додати PPA, я завжди перевіряю, які пакунки перераховані в ньому.

PS : Pidgin ніколи не надсилає імена користувачів та паролі на сервери (і ніколи третій стороні!) "Таємно". Все робиться за згодою користувача. Щоб безперешкодно з’єднатись, Pidgin не може надіслати вам пинг кожного разу, коли він надсилає облікові дані для входу на сервери. Очікується, що ви уповноважили це зробити, як тільки ви надали йому деталі. Я вважаю за краще подумати двічі, перш ніж називати Підгіна "бекдор" :)