Ubuntu Software Center 스파이웨어의 프로그램은 무료입니까?

우분투 소프트웨어 센터에는 프로그램마다 다른 섹션이 있습니다

• 우분투 제공
• 정식 파트너
• 구매

나는이 모든 것이 오픈 소스라는 것을 알고있다. 그러나 Canonical에서 스파이웨어 나 맬웨어 가 없는지 확인하는 검증 프로세스가 있습니까?

누구든지 모든 릴리스 (이제 2355 프로그램 등), 모든 릴리스에 대해 소프트웨어 코드를 볼 시간이있을 것입니다!

소프트웨어 센터에서 다소 인기없는 소프트웨어를 정기적으로 설치하기 때문에 걱정됩니다. :)

멀웨어가 없는지 확인하는 프로세스가 있습니까? 아니 전혀 보장이 없습니다.

그러나 그것을 시도하고 감지하는 몇 가지 메커니즘이 있지만, 너무 파멸하고 싶지는 않지만, 우리가 정직하다면, 당신은 아마 당신이 원하는만큼 안전하지 않을 것입니다.

1. 프로젝트는 먼저 우분투에 추가되어야합니다. Rinzwind가 말했듯이,이 단계에서 점검이 이루어 지지만 우분투의 패키지 수명 인 빙산의 일각에 불과합니다.

2. 장기 패키지에 대한 첫 번째 방어선은 프로젝트 관리자입니다. 이 사람들은 프로젝트를 돌보고 패치를 받아 개선합니다. 그들은 인간입니다. 그들은 실수를하고 물건을 그리워합니다. 그리고 일부는 게으르다.

   악의적 인 사람이 악성 코드와 함께 개선 된 기능을 포함시켜 악성 코드를 몰래 침입 할 수 있습니다.

   관리자가 프로젝트에 잘못된 것을 인정하면 성공적인 감사를 저장하면 코드가 Ubuntu 사용자 컴퓨터에 생길 수 있습니다.

3. 보안 감사는 두 번째 단계입니다. 이것은 코드를 검사하고 모니터를 대상으로 실행하여 나쁜 것을 감지합니다. 내가 아는 한, 보안에 전념하는 공식적인 Canonical 팀은 없지만 그들 사이의 모든 패키지를 처리 하는 두 개의 커뮤니티 팀 (Ubuntu Security 및 MOTU SWAT)이 있습니다.

   감사는 모든 코드 줄이 사용자에게 전달되기 전에 올바르게 확인 된 경우에만 실제로 작동합니다. 우리가 이야기하는 코드의 양과 업데이트 횟수에는 실제로 실용적이지 않습니다. 이렇게하려면 시간과 돈이 많이 듭니다.

   오픈 소스 세계에는 누군가 가 소스를 볼 수 있다고 가정하는 것이 있습니다. 이것은 유지하기에 매우 위험한 정신입니다.

   보안 수정은 취약점을 찾아서 공개하는 사람들에게 크게 반응합니다. 누군가가 찾은 구멍을 공개하면 어떻게됩니까?

4. 문제를보고하는 다른 "최종 사용자"는 최종 실제 탐지 메커니즘이며, 솔직히 말하면, 좋은 멀웨어는 너무 늦어서 차이를 만들 때까지 문제가 있음을 사용자에게 알리지 않습니다. 잘 작성된 악성 코드는 화면을 뒤집거나 모든 대역폭을 훔치지 않을 것입니다. 백그라운드에 앉아 모든 뱅킹 세부 정보를 기록하여 익명의 덤프에 어딘가에 게시합니다.

전체 프로세스는 자체 보안 수준을 유지하기 위해 업스트림 프로젝트에 의존합니다. 누군가가 Gnome 계산기의 관리자를 지나서 무언가를 미끄러 뜨렸다면 다른 사람들이 줄을 잃을 가능성이 있습니다. 보안 팀도이를 의심하지 않습니다.

고맙게도 대부분의 관리자는 자신이하는 일에 능숙합니다. 그들은 코드베이스를 알고 있으며 패치를 이해하지 못하면 명확하지 않다는 이유로 거부합니다.

위험 평가 측면에서 덜 인기있는 것을 사용하면 코드를 확인하는 시선이 줄어들 것입니다. 그러나 비슷하게 커밋이 적을 수 있으므로 관리자가 게으르지 않거나 악의적 인 한 각 커밋을 처리하는 데 더 많은 시간이 걸릴 수 있습니다. 자신이 얼마나 위험에 처했는지 정확하게 말하기는 어렵습니다. 오픈 소스 소프트웨어의 보안은 코드를 보는 유능한 사람들에 달려 있습니다.

반대로 폐쇄 된 소스 항목 (파트너 및 구매 저장소)은 커뮤니티에서 완전히 감사하지 않습니다. Canonical은 소스 액세스 권한이있을 수 있지만 솔직히 소스 액세스 권한이 있고 원하는 경우에도 철저한 감사를 수행 할 리소스가 있는지 의심합니다.

PPA와 마찬가지로 소스에 직접 들어가고 싶지 않다면 보호 기능이 거의 없습니다. 사용자는 소스 코드에 원하는 것을 추가 할 수 있으며, 직접 확인하지 않고 (맬웨어를 탐지 할 수없는 경우) 늑대로 둘러싸인 양입니다. 사람들은 잘못된 PPA를보고 할 수 있지만 문제가 있는지 확인하고 확인하는 다른 사람들에 따라 발생하는 문제가 있습니다. 큰 사이트 (예 : OMGUbuntu)가 PPA를 권장하는 경우 (자주하는 것처럼) 많은 사용자가 문제를 겪을 수 있습니다.

문제를 해결하기 위해 Linux 사용자의 시장 점유율이 낮을수록 잘못된 코드를 찾아 낼 수있는 소프트웨어가 적다는 것을 의미합니다. 나는 그것을 말하기는 싫지만 적어도 Windows를 사용하면 매일 수십 개의 회사가 소프트웨어의 작동 방식, 감지 방법 및 제거 방법을 찾아 내고 있습니다. 그것은 필연적으로 생겨난 시장이었고, 이것도 말하고 싶지 않지만 상황이 나아지기 전에 상황이 악화 될 것입니다.

보안 편집증을 위해, 나는 얼마 전에 짧은 기사를 썼다 : 리눅스는 무적이다. 말하지 마 . 저장소에 물건을 몰래 넣는 것이 멀웨어를 배포하는 어설 션의 주요 공격 경로가 아닐 수 있습니다. 감염된 .deb를 설치하기 위해 사용자의 탐욕과 멍청한 행동을 할 가능성이 훨씬 높습니다 (IMO).

예. 패키지는 커뮤니티에서 확인합니다 (따라서 1은 일부 맬웨어를 설치할 수 있지만 뉴스는 모든 사용자에게 빠르게 전파됩니다).

앱은 라이센싱에 설명 된 매우 엄격한 규칙을 준수해야합니다 .

새 패키지의 wiki 페이지 에는 약간 더 많은 정보가 있습니다.

MOTU 통과

아직 우분투에 있지 않은 패키지는 추가 검사가 필요하며 업로드 전에 아카이브 관리자 가 최종 검토를 받기 전에 특별 검토 프로세스를 거쳐야 합니다. 적용될 기준을 포함하여 검토 프로세스에 대한 자세한 내용은 Code Reviewers 페이지 에서 확인할 수 있습니다 . 개발자는 검토를 위해 패키지를 제출하기 전에이 지침을 사용하여 자신의 패키지를 검사하는 것이 좋습니다.

더 높은 품질의 버그 보고서 를 받으려면 패키지에 대한 분류 코드 를 작성하십시오.

일반적인 아이디어는 다음과 같습니다. 의심스러운 것을 발견하면 런치 패드, askubuntu, ubuntuforums에보고하면 누군가가 가져옵니다.

일어날 수있는 일은 맬웨어 생성자가 유효한 패키지를 만들고 수락 한 다음 맬웨어를 추가하는 업데이트를 만드는 것입니다. 많은 많은 사람들 중 적어도 하나가 항상 이것을 잡아서 어딘가에 이것을보고 할 것입니다. 이런 식으로 많은 기계에 올라가지 않을 것입니다. (컴퓨터로 가져 오려는 노력은 보상을 받기에는 너무 많습니다 : Windows 컴퓨터를 타겟팅하는 것이 훨씬 쉽습니다).

땅벌에 끔찍한 일의 예 . 누군가 공간을 놓치고 / usr이 삭제되었습니다 ... 어떤 사람들은 영향을 받았으며, 1 개는 적기와 함께 경고를 올렸습니다. 창조자는 그것을 고치지 만 (빛의 속도보다 빠름) 여러 시스템에 손상이 가해졌습니다. 그리고 이것은 실수였으며 고의가 아니기 때문에 일어날 수 있습니다.)

아무도 당신을 보장 할 수 없다고 생각합니다. 패키지가 데비안 패키지 인덱스에 추가 되려면 어떤 일이 발생해야하는지 확인해야하지만, 거기에 악한 일이 생길 수 있다고 생각합니다.

가상 머신을 설정하고 소프트웨어를 사용해 볼 수 있습니다. 그런 다음 iftop이 애플리케이션이 집 과 통신 하는지 여부를 확인하는 등 의 방법으로 네트워크 트래픽을 살펴볼 수 있습니다 . 숨겨져 있기 때문에 아무 것도 보지 못할 가능성이 있습니다.

오픈 소스는 보안을 의미하지 않습니다. 코드를 볼 수 있다고해서 누군가가 그런 것을 의미하지는 않습니다.

런치 패드에서 PPA로 코드를 공개하려면 openPGP를 설정하고 이메일 주소에 첨부 된 키를 작성해야합니다. 패키지에 서명하려면 로컬 컴퓨터의 개인 키 사본과 암호 (어디에 저장되지 않은)가 필요합니다. 패키지에 보안 문제가있는 경우 제작자를 쉽게 추적 할 수 있어야합니다. 우분투와 데비안의 주요 리포지토리는 적어도 안전하다고 가정합니다.

대부분의 오픈 소스 프로젝트에는 최소한 ssh 수준의 보호 (암호 및 / 또는 공개 / 개인 키 쌍)가있는 중앙 저장소가 있습니다. 여기에서 무단 액세스를하는 것이 ppa보다 약간 쉽지만 사소한 것은 아닙니다. 버전 관리 시스템은 일반적으로 각 커밋을 수행하고 커밋이 수행하는 작업을 쉽게 파악할 수있는 사용자를 기록합니다.

항상 패치에 무언가를 넣으려고 시도 할 수는 있지만 이것은 위험한 제안입니다. 대부분의 코더는 너무 커서 쉽게 읽을 수없는 패치를 허용하지 않습니다. 당신이 잡히면 그것은 거의 다입니다.

여전히 신뢰할만한 금액이 남아 있기 때문에 누군가 우분투에 스파이웨어를 감염시킬 수 있습니다. 우분투의 시장 점유율이 크게 증가하면 걱정해야 할 부분 일 수 있습니다.