バイナリがパッケージ.tar.xzではなく形式で提供されるオープンソースアプリケーションがあるとします。 Debian SWリポジトリには、Debianコミュニティによって作成されたように見える.debパッケージがあります。.deb
私はアプリケーション自体を信頼しているので、Debianリポジトリのアプリケーションバージョンも信頼できますか? Debian チームは「セキュリティを非常に重要と考えている」と主張しています。しかし、実際の状況はどうですか?セキュリティチームが送信されたすべてのパッケージを確認し、パッケージングする前にコードが変更されていないことを確認できますか?または、イベントが発生したときにのみ反応します(たとえば、リポジトリからパッケージを削除する)。
(質問を期待してください。この.debパッケージを使用すると、更新と全体的なメンテナンスが簡単になるため有益です。)
答え1
Debian Security チームはボランティアの小さなグループで、アーカイブに 67,000 個以上のパッケージがあるため、アップロードする前にすべてのパッケージを確認しません。私はまた、そのようなプロセスを持つ他のLinuxディストリビューション(または他の主要なプロジェクトや出版社)も知りません。
ただし、Debianビルドデーモンはソースから各パッケージをビルドするので、ソースパッケージをダウンロードして(を使用してapt-get source PACKAGENAME)tarballとパッチが期待したものと同じであることを確認できます。すべてのソースパッケージはアーカイブと同様に暗号化方式で署名されているため、アップロードされたソースのパッケージが変更されていないことを確認できます。
Debianにもイニシアチブがありますすべてのパッケージを再現可能にビルドこれにより、同じパッケージを直接作成し、改ざんされていないことを確認できます。一つあるパッケージ一覧繰り返し構築できるものと不可能なものは何ですか?
一般的に、Debian は信頼できるバイナリソースとして広く知られており、多くの主要組織で使用されていますが、もちろん自分で決定を下す必要があります。すべてのバイナリとバイナリパッケージを監査する必要がある場合は、それを直接管理する必要があります。これは、規模に関係なく、オペレーティングシステムの発行者がそのサービスを提供しているかどうかわからないためです。
答え2
https://wiki.debian.org/DebianMentorsFaqそしてhttps://warlord0blog.wordpress.com/2018/05/08/repository-not-trustedリポジトリを維持するときは、管理者に注意を払い、潜在的に危険な状況について警告するプロセスを用意してください。
.deb パッケージの使用の利点に同意します。
答え3
私はDebianリポジトリのセキュリティ関連の側面を説明する2つの質問をしました。
- Debian パッケージは誰が作るのか?(包装プロセスの良い紹介)
- 「パッケージマネージャはパッケージハッシュを確認しますか?」(重複) - >Debianソフトウェアパッケージの信頼性をどのように保証しますか?(ここで希望の答えを見つけることもできます)
繰り返し可能なビルドのために実際に便利に使用するには何が必要だと思いますか?パッケージが100%複製される前確認する便利な方法です。みんなインストールされている非フリーソフトウェアをスキャンするツールに加えて、現在インストールされているvrmsパッケージの一部は再現できません。
「Debian システムにインストールされているコピーできないパッケージをどのようにリストしますか?」