哪些Ubuntu存储库完全安全且没有恶意软件?
我在新闻中读到了感染Android操作系统的所有恶意软件。 该恶意软件位于谷歌的App Store中,人们在不知不觉中下载并安装它。
据我所知,Ubuntu的主存储库对我来说是安全的(我不会感染恶意软件)因为Canonical工程师会审查该软件。 但是其他的回购呢,最值得注意的是Universe知识库呢? Universe repo是否会收到任何类型的审核以防范恶意软件? 是否可以避免使用Universe回购,因为担心会不知不觉地从中下载恶意软件?
我读过PPA特别危险,因为它们没有经过审核。 我认为使用谷歌Chrome PPA是完全安全的。
因此,如果我只使用Main&Universe存储库和Google Chrome PPA,我是否会在不知不觉中下载恶意软件?
如果Ubuntu确实获得了像Mark Shuttleworth预测的数亿用户,那么Ubuntu PPA难道不会成为Ubuntu的恶意软件问题,就像谷歌的App Store今天适用于Android一样吗?
所有官方Ubuntu存储库(包含您可以在archive.ubuntu.com或其镜像上找到的任何内容,以及其他一些存储库)都是完全策划的。 这意味着main , restricted , universe , multiverse ,以及 – -updates和 – 安全。 其中的所有软件包都来自Debian(因此已由Debian开发人员上传)或者已由Ubuntu开发人员上传; 在这两种情况下,上传的包都通过上传者的gpg签名进行身份validation。
因此,您可以相信官方档案中的每个包都已由Debian或Ubuntu开发人员上传。 此外,您下载的软件包可以通过存储库中文件的gpg签名进行validation,因此您可以相信您下载的每个软件包都是在Ubuntu或Debian开发人员上传的源代码的Ubuntu构建服务器场上构建的。
这使得直接的恶意软件不太可能 – 有信任的人需要上传它,并且上传很容易被他们追踪。
这留下了更加偷偷摸摸的邪恶问题。 上游开发人员可以将后门放入其他有用的软件中,这些可以进入存档 – 在universe或multiverse ,取决于许可证。 人们会对Debian存档进行安全审计,因此如果这个软件变得流行,很可能会发现后门。
main软件包有一些额外的检查,并从Ubuntu安全团队获得更多的爱。
PPA几乎没有这个。 您从PPA获得的保证是您下载的软件包是在Ubuntu构建基础架构上构建的,并且是由有权访问所列上传器的Launchpad帐户的GPG密钥之一的人上传的。 我们无法保证上传者是他们所说的人 – 任何人都可以制作“Google Chrome PPA”。 您需要以其他方式确定对PPA的信任。
¹:这种信任链可以通过广泛侵入Ubuntu基础设施来打破,但任何系统都是如此。 开发人员的gpg密钥的泄密也允许黑帽将包上传到存档,但由于存档通过电子邮件发送每个包的上传者,因此应该快速注意到这一点。
上传之前Ubuntu存储库中的所有软件包都由MOTU(Universe大师)进行检查和审核。 MOTU是勇敢的灵魂,可以保持Ubuntu的Universe和Multiverse组件的形状。 他们是社区成员,他们花时间尽可能地添加,维护和支持Universe中的软件。 因此,这些软件包不会侵入您的计算机并窃取您的数据。 但是,这些软件包可能存在安全漏洞,这些漏洞是软件中存在的缺陷。 Ubuntu中也提供了一些包含安全性的软件(例如键盘记录器),但这些软件包不会窃取您的数据(除非有人故意将其安装在您的计算机上)。
希望这可以帮助。 有关更多信息,请参阅Ubuntu wiki页面MOTU 。
保持Main和Universe存储库是非常安全的,如果它们特别受欢迎(大部分时间),或者你知道它们将是安全的(如谷歌Chrome PPA。我怀疑谷歌会将任何类型的恶意软件包含在其中。)如果您使用Main,Universe和Google Chrome PPA,那么您将是安全的。
如果Ubuntu获得了大量用户,那么肯定会有更多的恶意软件。 我认为不足以成为一个真正的问题。