어떤 Ubuntu 리포지토리가 완전히 안전하고 악성 코드가 없나요?

모든 공식 우분투 저장소( archive.ubuntu.com미러에서 찾을 수 있는 모든 것, 기타 일부 포함)는 완전히 선별되어 있습니다. 이는 main, restricted, universe, multiverse, 및 -updates및 을 의미합니다 -security. 거기에 있는 모든 패키지는 Debian에서 왔거나(Debian 개발자가 업로드함) Ubuntu 개발자가 업로드했습니다. 두 경우 모두 업로드된 패키지는 업로더의 gpg 서명으로 인증됩니다.

따라서 공식 아카이브의 모든 패키지는 Debian 또는 Ubuntu 개발자가 업로드했다고 믿을 수 있습니다. 또한 다운로드한 패키지는 저장소에 있는 파일의 gpg 서명으로 확인할 수 있으므로 다운로드하는 각 패키지가 Ubuntu 또는 Debian 개발자가 업로드한 소스의 Ubuntu 빌드 팜에 구축되었음을 신뢰할 수 있습니다.

따라서 완전한 악성 코드가 발생할 가능성은 거의 없습니다. 신뢰할 수 있는 위치에 있는 누군가가 이를 업로드해야 하며 업로드는 해당 사람을 쉽게 추적할 수 있습니다.

이것은 더 은밀한 사악함에 대한 질문을 남깁니다. 업스트림 개발자는 유용한 소프트웨어에 백도어를 삽입할 수 있으며 라이센스에 따라 아카이브 universe또는 에 백도어를 만들 수 있습니다. multiverse사람들은 데비안 아카이브의 보안 감사를 실행하므로 이 소프트웨어가 인기를 얻으면 백도어가 발견될 가능성이 높습니다.

패키지에는 main추가 검사가 포함되어 Ubuntu 보안 팀으로부터 더 많은 사랑을 받습니다.

PPA에는 이런 것이 거의 없습니다. PPA를 통해 얻을 수 있는 보장은 다운로드한 패키지가 Ubuntu 빌드 인프라를 기반으로 구축되었으며 나열된 업로더의 Launchpad 계정 GPG 키 중 하나에 액세스할 수 있는 사람이 업로드했다는 것입니다. 업로더가 자신이 누구인지는 보장할 수 없습니다. 누구나 'Google Chrome PPA'를 만들 수 있습니다. PPA에 대해서는 다른 방법으로 신뢰를 확인해야 합니다.

¹: 이 신뢰 체인은 Ubuntu 인프라에 대한 광범위한 침입으로 인해 깨질 수 있지만 이는 모든 시스템에 해당됩니다. 개발자의 gpg 키가 손상되면 블랙햇이 패키지를 아카이브에 업로드할 수도 있지만 아카이브는 각 패키지의 업로더에게 이메일을 보내기 때문에 이 사실을 빨리 알아차려야 합니다.

업로드되기 전에 Ubuntu 리포지토리의 모든 패키지는 MOTU(Masters of the Universe)에 의해 확인되고 검토됩니다. MOTU는 우분투의 우주 및 다중 우주 구성 요소를 모양대로 유지하는 용감한 영혼입니다. 그들은 Universe에 있는 소프트웨어를 최대한 많이 추가, 유지 관리 및 지원하는 데 시간을 보내는 커뮤니티 구성원입니다. 따라서 이러한 패키지가 컴퓨터에 침입하여 데이터를 훔칠 가능성이 없습니다. 그러나 이러한 패키지에는 소프트웨어에서 발견되는 결함인 보안 버그가 있을 수 있습니다. 또한 일부 보안 관련 소프트웨어(예: 키 로거)를 Ubuntu에서 사용할 수 있지만 이러한 패키지는 (누군가 의도적으로 컴퓨터에 설치하지 않는 한) 데이터를 훔치지 않습니다.

도움이 되었기를 바랍니다. 우분투 위키 페이지를 참조하세요MOTU자세한 내용은.

Main 및 Universe 리포지토리에 머무르는 것은 매우 안전하며 PPA가 특히 인기가 있거나(대부분) 안전할 것이라는 것을 알고 있는 경우(예: Chrome PPA)도 마찬가지입니다. Google이 그럴지는 의심스럽습니다. 어떤 종류의 악성 코드도 넣을 수 있습니다.) Main, Universe 및 Google Chrome PPA를 사용하면 안전합니다.

Ubuntu가 수많은 사용자를 확보한다면 그렇습니다. 아마도 더 많은 악성 코드가 있을 것입니다. 그래도 진짜 문제가 될 만큼 충분하지는 않을 것 같아요.