私はWindowsの世界から来ているので、Virustotalなどのツールを介してすべての新しいEXEまたはインストールファイルを挿入またはインストールする前に、特定のセクション(マルウェア、スパイウェアなしなど)のセキュリティレビューのためにStack Exchange / Redditを検索することに慣れています。ソフトウェア。
Linuxではそうですか?最大ベンダーイメージからOSを新しくインストールするときに付属のデフォルトリポジトリを使用している限り、すべてのユーティリティまたはソフトウェアをインストールするのは完全に安全ですか?
それ以外の場合、特定のLinuxユーティリティ/プログラム/アプリケーションのセキュリティを確認する一般的なプロセスは何ですか?
答え1
短い答え
はい、新しくインストールされたオペレーティングシステムに付属のデフォルトリポジトリを使用している限り、すべてのユーティリティまたはソフトウェアをインストールすることは「基本的に安全」です。デフォルトのリポジトリには、Linuxディストリビューションの開発者および/またはメンテナンス者がテストしたソフトウェアが含まれています。
はい
さまざまなセキュリティレベルがあります。 Ubuntuを例に挙げてみましょう。
Canonicalで働くUbuntu開発者/メンテナンス者は、中央パッケージ(リポジトリ)に貢献します。基本など)サーバーエディションとUbuntu Desktopのすべてのエディションに適用されます。いくつかのケースではこれらのプログラムを開発していますが、多くの場合、これらのプログラムは他の人/グループ(Debianなど)によって「アップストリーム」として開発されパッケージ化されています。パッケージのソースに関係なく、すべてのパッケージは基本的にUbuntu自体が提供する包括的なセキュリティサポートの利点を享受しています。
リポジトリのソフトウェア機能宇宙そしてマルチ宇宙テストされていますが、ソフトウェアは他の人またはグループによって開発およびパッケージ化されており、Ubuntuはセキュリティを保証できません。
PPAのソフトウェアはUbuntu開発者および/またはメンテナンス者によってテストされていません。品質とセキュリティは開発者/メンテナンス者によって異なります。 (私はPPAを担当しており、他のいくつかのPPAを使用していますが、セキュリティリスクのためにPPAを離れている人が多いことを知っています。)
上記のソフトウェアはすべて自動的に更新されます。
通常、Windowsアプリケーションと同様に別々にダウンロードされるソフトウェアは、セキュリティレベルが低くなります(例:あなた最新であることを確認する必要があります。)
お客様が直接コンパイルまたは開発したソフトウェアは、お客様の技術およびソフトウェアが処理する作業に応じて、安全または安全ではない場合があります。
次のリンクでは、Ubuntu のケースについて詳しく説明します。
一般的な結論
同様に、他のLinuxディストリビューションには、機能とセキュリティについてある程度テストされたリポジトリがあります。より多くの「周辺」ソフトウェアをインストールする前に、そのソフトウェアのソース、評判、およびメンテナンスを慎重に確認する必要があります。
インストールする前に、仮想マシン、ライブシステム、または2台目のコンピュータなどの別々の「テスト」システムでソフトウェアをテストすることをお勧めします。
答え2
すべての主要なGNU / Linuxディストリビューションには、Windows Updateよりも優れたソフトウェアパッケージがあります。マイクロソフトがWindows Updateを介してウイルスを公開しないことを信頼している場合は、販売代理店も信頼する必要があります。さらに、ほとんどのソフトウェアパッケージはフリーソフトウェアであり、ソースコードは一般に公開されているので、そうです。
Arch Linuxなどの一部のディストリビューションでは、個別の「公式」リポジトリと「非公式」ユーザー作成リポジトリ(尿素尿の割合) には、ディストリビュータがサポートする公式リポジトリのパッケージが含まれており、AUR はユーザにそのパッケージを信頼しないように警告します。
答え3
Unix、Linux、BSD、その他のソフトウェアディストリビューションで「安全」という考えは矛盾です。その理由は、他人のデータを信頼するからです。私は10年以上にわたって大きな問題なしにDebianを使用してきましたが、パブリッシャの管理や知識を超えた問題のあるパッケージがいくつかありました。数年前のことで、パッケージ名は覚えていませんが、一部の機能は覚えています。
これは、Firefoxがn年間プラグインをサポートする積極的なリリースプロセスに移行する前です。このソフトウェアパッケージまたはプラグインは、Webページ/ Webサイトのセキュリティを確認するために使用されます。私たち全員が知っているように、サイト証明書には多くのものが含まれています。証明書の暗号化強度とさまざまな情報を確認して、Webサイトのセキュリティがどれほど良いか悪いかを確認できます。似たようなものhttps://github.com/andreicristianpetcu/Base64CertificateViewer/ATMを使っています。唯一の違いは、プラグインがデータ(プラグインを使用しているユーザーのIP、ユーザーが移動するウェブサイトなど)を第三者に販売することです。人々はそのことが起きてから約5~6年が過ぎてこそその事実を知りました。多くのドラマチックなことがあり、最終的にそのアドオンはFirefoxストア/アドオンページから削除され、外部アドオンが証明書を表示して表示できる程度まで多くの変更を行いました。
FWIW、それが分かるとすぐにDebianリポジトリからも削除されましたが、ダメージが発生しました。私はこのパッケージをDebianに入れる元の要求者でした。私はDebianを使っている人の多くが弱い場所にいて、いくつかは強い場所にいることを知っています。これらのグループのいずれかがリポジトリでこのプラグインを使用している場合。彼らは自分自身をより脆弱にします。
今、この種のデータ盗難はどんな店や誰も予測できませんでした。同様の出来事がいくつかの地域で発生しました。例えばFreenodeのドラマ、
社会的疫学においては、何も、誰も排除できません。
フリーソフトウェアは、人々が正しいことをするように努めます。ほとんどすべてのソフトウェアには1つ以上のライセンスが付属しており、ほとんどのソフトウェアは特定の時点の特定の要件に従って作成されます。ほとんどのライセンスは、必要なデータ保護を追加するためにライセンスを追加および変更する必要があります。良いニュースは、ほとんどのフリーソフトウェアライセンスもハッキング可能であるためハッキングが可能であるということであり、悪いニュースは悪意のある人がいれば何とかライセンスを無視できるということです。
答え4
一般に(絶対的なルールではない)、ソフトウェアはデプロイメントを維持する開発者によって構築および監視されるため、デプロイメントコアリポジトリからソフトウェアをインストールするのは安全です。
そこできる問題は、元のコードで直接発生し、リリース前に発生することがよくありますが、常にコードを確認するか、コードレビューを実行することをお勧めします。
これに対する主なリスクは、管理者が新しいリポジトリを追加したときにppaまたはyumリポジトリから出るたびに、責任がリリースでリポジトリライブラリを追加することを決定した特定のアプリケーションの開発者に変更されることです。これにより、この特定のアプリケーションのコードレビューに焦点を当てることができ、潜在的なリスクが高まる可能性があります。リポジトリを追加するときは、コードレビューの品質に注意する必要があります。
最後に、ソースからソフトウェアをダウンロードし、システムでコンパイルしてソフトウェアを追加すると、より危険な可能性があります。なぜなら、コードレビューを行うことはあなたの責任であり、誰もがそうする能力を持っているわけではないからです。