Implicações de segurança de outros repos

Navegue suas respostas
0

Pergunta principal:

Em que ponto posso confiar em reposições externas e não oficiais? Há implicações de segurança para adicionar de forma cega repos de terceiros a uma estação de trabalho? No entanto, tenho sido muito suspeito de incluir repositórios não oficiais.

Contexto e meu caso particular:

Gostaria de instalar um Juce . Pelo que entendi, este é um utilitário autônomo para hospedar VST (instrumentos virtuais usados na produção musical). Eu encontrei o que parece ser a fonte no github e tentei compilar isso em uma VM descartável. No entanto, depois de receber um erro na instalação (para o qual eu posso abrir um ticket aqui ou no github mais tarde), eu estava curioso para ver se alguém o havia empacotado para o Ubuntu.

    
por Rick 10.03.2016 / 17:54

1 resposta

1

Existem alguns problemas:

  • Qualquer repo pode sobrescrever qualquer pacote por padrão . Você pode fixar um repo para permitir apenas alguns pacotes mas isso não ajuda contra isso porque ...
  • Esses pacotes podem gravar arquivos em qualquer lugar . Eles não precisariam sobrescrever nenhum arquivo existente, mas há muitos lugares em que você pode esconder um arquivo malicioso, o que não significa ...
  • Os pacotes podem executar qualquer coisa como raiz na instalação e remoção.

Então, sim, se você não puder confiar no controlador de um repositório (ou confiar que eles estão examinando o código que está entrando no repositório), você não deveria estar usando esse repositório. Um pacote malicioso está no fim do jogo.

    
por Oli 10.03.2016 / 18:20
fail2ban não funcionará O Ubuntu 15.10 apresenta os mesmos problemas de inicialização de versões mais antigas