Como o ubuntu garante segurança de software a partir de desenvolvedores externos [duplicados]

Navegue suas respostas
1

Eu estava lendo no hack contra o Bittorrent Client da Transmission. link

Isso me fez pensar em como o Ubuntu se protegeria contra esse tipo de coisa. O Ubuntu Devs revisa todos os softwares que eles colocam em seus repositórios ou eles confiam que o software é seguro e hospeda mesmo assim?

    
por Klyn 07.03.2016 / 08:23

1 resposta

1

Existem vários níveis de segurança / responsabilidade:

  • Desenvolvedores:

    • escreva o código-fonte - > verifique a segurança do próprio código e de outros desenvolvedores
    • gerenciar repositórios de código - > deve verificar os patches antes de aceitá-los, mantenha seu repositório seguro
    • oferece downloads de fontes - > deve manter o site de download seguro, fornecer tarballs e somas de verificação assinadas

  • Conjunto de ferramentas de empacotamento:

    • Empacotadores: devem ser empacotados adequadamente (opções de configuração, arquivos de configuração, scripts pré / pós-instalação), assinar pacotes
    • Gerentes de repositório: envie corretamente os envios de pacotes
    • Gestores de distribuição: mantenha os downloads, as somas de verificação, as assinaturas, etc. protegidas
    • Todos eles: Certifique-se de que correções de segurança cheguem aos repositórios de pacotes da distro o mais rápido possível.
    • Mais informações: link

  • SecureApt:

    • Certifica-se de que os pacotes e atualizações baixados não foram adulterados (checksum e verificações de assinatura)

    • Mais informações:

  • Usuários:

    • Como a maioria dos códigos para pacotes do Ubuntu é open source e o processo de empacotamento / assinatura / etc é documentado, qualquer um pode verificar problemas de segurança em princípio e reportar comportamento incomum.
    • Deve atualizar regularmente, mas também acompanhar as notícias de segurança, se possível, caso as atualizações de software ou arquivos .iso sejam comprometidas, por exemplo ...: / (Exemplo: link )
    • Verifique os arquivos .iso antes de instalar a partir deles (somas de verificação + assinatura, evite fontes não oficiais)
    • Não ignore avisos como "AVISO: os seguintes pacotes não podem ser autenticados!": Por que estou recebendo erros de autenticação para pacotes de um repositório do Ubuntu?
% bl0ck_qu0te%

Meu palpite é que eles confiam principalmente nos desenvolvedores originais (e nos usuários para relatar problemas). Mas, se algum problema de segurança for encontrado, todos os envolvidos devem colaborar para que as coisas sejam corrigidas o mais rápido possível. Se o Ubuntu receber relatórios de bugs, eles devem transmitir as informações ao desenvolvedor (por exemplo, para desenvolvedores) e, ao contrário, se os desenvolvedores encontrarem bugs, eles devem corrigi-los rapidamente e notificar downstream (ou seja, empacotadores). E todos devem manter suas chaves privadas seguras e revogar as chaves se tiverem sido comprometidas.

P.S .: você também pode encontrar mais informações no link .

    
por KIAaze 08.03.2016 / 13:19
(rEFInd) Ícone diferente para o Ubuntu Recovery Samba sobre Openvpn