完全に安全でマルウェアのない Ubuntu リポジトリはどれですか?

公式 Ubuntu リポジトリ ( またはそのミラーで見つかるものarchive.ubuntu.com、およびその他のものを含む) はすべて完全にキュレーションされています。つまり、、、、、mainおよびです。そこに含まれるすべてのパッケージは、Debian から提供されたもの (つまり Debian 開発者によってアップロードされたもの) か、Ubuntu 開発者によってアップロードされたものです。どちらの場合も、アップロードされたパッケージは、アップロード者の gpg 署名によって認証されます。restricteduniversemultiverse-updates-security

したがって、公式アーカイブ内のすべてのパッケージは、Debian または Ubuntu 開発者によってアップロードされていると信頼できます。さらに、ダウンロードしたパッケージはリポジトリ内のファイルの gpg 署名によって検証できるため、ダウンロードした各パッケージは、Ubuntu または Debian 開発者によってアップロードされたソースから Ubuntu ビルド ファームでビルドされたものであると信頼できます¹。

これにより、完全なマルウェアの可能性は低くなります。信頼できる立場の人物がアップロードする必要があり、そのアップロードは簡単に追跡可能になります。

これでは、さらに秘密裏に不正行為が行われるという疑問が残ります。アップストリームの開発者が、本来は有用なソフトウェアにバックドアを仕込む可能性があり、これがライセンスに応じてuniverseまたはでアーカイブに取り込まれる可能multiverse性があります。Debian アーカイブのセキュリティ監査は実際に行われているため、このソフトウェアが普及すれば、バックドアが発見される可能性が高くなります。

のパッケージにはmain追加のチェックが加えられ、Ubuntu セキュリティ チームからより多くの注意が払われます。

PPA には、こうしたことがほとんどありません。PPA から得られる保証は、ダウンロードしたパッケージが Ubuntu ビルド インフラストラクチャで構築され、リストされているアップローダーの Launchpad アカウントの GPG キーの 1 つにアクセスできる人物によってアップロードされたことです。アップローダーが本人である保証はありません。誰でも「Google Chrome PPA」を作成できます。PPA の信頼性を別の方法で判断する必要があります。

¹: この信頼チェーンは、Ubuntu インフラストラクチャへの大規模な侵入によって破壊される可能性がありますが、これはどのシステムにも当てはまります。開発者の gpg キーが侵害されると、悪意のある人物がアーカイブにパッケージをアップロードすることも可能になりますが、アーカイブは各パッケージのアップロード者に電子メールを送信するため、すぐに気付くはずです。

Ubuntu リポジトリのすべてのパッケージは、アップロードされる前に MOTU (Masters of the Universe) によってチェックおよびレビューされます。MOTU は、Ubuntu の Universe および Multiverse コンポーネントを健全に保つ勇敢な人々です。彼らは、Universe にあるソフトウェアを可能な限り追加、保守、サポートするために時間を費やすコミュニティ メンバーです。したがって、これらのパッケージがコンピューターに侵入してデータを盗む可能性はありません。ただし、これらのパッケージには、ソフトウェアに見つかった欠陥であるセキュリティ バグがある可能性があります。また、Ubuntu ではセキュリティを構成するソフトウェア (キー ロガーなど) もいくつか利用可能ですが、これらのパッケージがデータを盗むことはありません (誰かが意図的にコンピューターにインストールしない限り)。

これが役に立つことを願っています。Ubuntu wikiページをご覧ください。MOTU詳細については。

メイン リポジトリと Universe リポジトリを使用することは非常に安全です。また、特に人気がある (ほとんどの場合) PPA や、安全であることがわかっている (Google Chrome PPA など。Google がそこに何らかのマルウェアを入れるとは思えません) PPA も安全です。メイン、Universe、Google Chrome PPA を使用すれば安全です。

Ubuntu のユーザーが大量に増えれば、確かにマルウェアも増えるでしょう。ただし、実際に問題になるほどで​​はないと思います。