Quais repositórios do Ubuntu são totalmente seguros e livres de malware?

Question 1

Todos os repositórios oficiais do Ubuntu (abrangendo tudo o que você pode encontrar archive.ubuntu.comou seus espelhos, bem como alguns outros) são totalmente selecionados. Isso significa main, restricted, universe, multiverse, bem como -updatese -security. Todos os pacotes ali contidos vieram do Debian (e foram carregados por um desenvolvedor Debian) ou foram carregados por um desenvolvedor Ubuntu; em ambos os casos, o pacote carregado é autenticado pela assinatura gpg do uploader.

Portanto, você pode confiar que todos os pacotes nos arquivos oficiais foram carregados por um desenvolvedor Debian ou Ubuntu. Além disso, os pacotes baixados podem ser verificados pelas assinaturas gpg nos arquivos do repositório, para que você possa confiar que cada pacote baixado foi compilado no build farm do Ubuntu a partir da fonte que foi carregada por um desenvolvedor Ubuntu ou Debian¹.

Isso torna improvável o malware imediato - alguém em uma posição de confiança precisaria carregá-lo, e o upload seria facilmente rastreável até ele.

Isso deixa a questão de uma nefastidade mais sub-reptícia. Os desenvolvedores upstream podem colocar backdoors em softwares úteis e estes podem ser arquivados universeou arquivados multiverse, dependendo da licença. As pessoas realizam auditorias de segurança no arquivo Debian, então se este software se tornar popular é provável que o backdoor seja descoberto.

Os pacotes passam mainpor uma verificação extra e recebem mais atenção da equipe de segurança do Ubuntu.

Os PPAs não têm quase nada disso. A garantia que você obtém de um PPA é que os pacotes baixados foram criados na infraestrutura de compilação do Ubuntu e carregados por alguém com acesso a uma das chaves GPG da conta do Launchpad do uploader listado. Não há garantia de que o remetente seja quem diz ser - qualquer um pode criar um “Google Chrome PPA”. Você precisa determinar a confiança de alguma outra forma para os PPAs.

¹: Essa cadeia de confiança pode ser quebrada por uma intrusão extensa na infraestrutura do Ubuntu, mas isso vale para qualquer sistema. O comprometimento da chave gpg de um desenvolvedor também permitiria que um black-hat carregasse pacotes para o arquivo, mas como o arquivo envia um e-mail ao uploader de cada pacote, isso deve ser notado rapidamente.

Answer

Todos os repositórios oficiais do Ubuntu (abrangendo tudo o que você pode encontrar archive.ubuntu.comou seus espelhos, bem como alguns outros) são totalmente selecionados. Isso significa main, restricted, universe, multiverse, bem como -updatese -security. Todos os pacotes ali contidos vieram do Debian (e foram carregados por um desenvolvedor Debian) ou foram carregados por um desenvolvedor Ubuntu; em ambos os casos, o pacote carregado é autenticado pela assinatura gpg do uploader.

Portanto, você pode confiar que todos os pacotes nos arquivos oficiais foram carregados por um desenvolvedor Debian ou Ubuntu. Além disso, os pacotes baixados podem ser verificados pelas assinaturas gpg nos arquivos do repositório, para que você possa confiar que cada pacote baixado foi compilado no build farm do Ubuntu a partir da fonte que foi carregada por um desenvolvedor Ubuntu ou Debian¹.

Isso torna improvável o malware imediato - alguém em uma posição de confiança precisaria carregá-lo, e o upload seria facilmente rastreável até ele.

Isso deixa a questão de uma nefastidade mais sub-reptícia. Os desenvolvedores upstream podem colocar backdoors em softwares úteis e estes podem ser arquivados universeou arquivados multiverse, dependendo da licença. As pessoas realizam auditorias de segurança no arquivo Debian, então se este software se tornar popular é provável que o backdoor seja descoberto.

Os pacotes passam mainpor uma verificação extra e recebem mais atenção da equipe de segurança do Ubuntu.

Os PPAs não têm quase nada disso. A garantia que você obtém de um PPA é que os pacotes baixados foram criados na infraestrutura de compilação do Ubuntu e carregados por alguém com acesso a uma das chaves GPG da conta do Launchpad do uploader listado. Não há garantia de que o remetente seja quem diz ser - qualquer um pode criar um “Google Chrome PPA”. Você precisa determinar a confiança de alguma outra forma para os PPAs.

¹: Essa cadeia de confiança pode ser quebrada por uma intrusão extensa na infraestrutura do Ubuntu, mas isso vale para qualquer sistema. O comprometimento da chave gpg de um desenvolvedor também permitiria que um black-hat carregasse pacotes para o arquivo, mas como o arquivo envia um e-mail ao uploader de cada pacote, isso deve ser notado rapidamente.

Question 2

Todos os pacotes nos Repositórios Ubuntu antes de serem carregados são verificados e revisados por MOTUs (Masters of the Universe). MOTUs são as almas corajosas que mantêm os componentes do Universo e do Multiverso do Ubuntu em forma. Eles são membros da comunidade que dedicam seu tempo adicionando, mantendo e apoiando tanto quanto possível o software encontrado no Universe. Portanto, não há chances desses pacotes invadirem seu computador e roubarem seus dados. No entanto, esses pacotes podem conter bugs de segurança, que são falhas encontradas no software. Além disso, alguns softwares de segurança estão disponíveis no Ubuntu (por exemplo, key loggers), mas esses pacotes não roubarão seus dados (a menos que alguém os instale intencionalmente em seu computador).

Espero que isto ajude. Veja a página wiki do UbuntuMOTUPara maiores informações.

Answer

Todos os pacotes nos Repositórios Ubuntu antes de serem carregados são verificados e revisados por MOTUs (Masters of the Universe). MOTUs são as almas corajosas que mantêm os componentes do Universo e do Multiverso do Ubuntu em forma. Eles são membros da comunidade que dedicam seu tempo adicionando, mantendo e apoiando tanto quanto possível o software encontrado no Universe. Portanto, não há chances desses pacotes invadirem seu computador e roubarem seus dados. No entanto, esses pacotes podem conter bugs de segurança, que são falhas encontradas no software. Além disso, alguns softwares de segurança estão disponíveis no Ubuntu (por exemplo, key loggers), mas esses pacotes não roubarão seus dados (a menos que alguém os instale intencionalmente em seu computador).

Espero que isto ajude. Veja a página wiki do UbuntuMOTUPara maiores informações.

Question 3

Ficar com os repositórios Main e Universe é muito seguro, assim como os PPAs, se eles forem especialmente populares (na maioria das vezes) ou se você souber que serão seguros (como o PPA do Google Chrome. Duvido que o Google faria coloque qualquer tipo de malware nele.) Se você usar Main, Universe e seu PPA do Google Chrome, você estará seguro.

Se o Ubuntu ganhar muitos usuários, então sim, provavelmente haverá mais malware. Eu não acho que seria o suficiente para ser um problema real.

Answer

Ficar com os repositórios Main e Universe é muito seguro, assim como os PPAs, se eles forem especialmente populares (na maioria das vezes) ou se você souber que serão seguros (como o PPA do Google Chrome. Duvido que o Google faria coloque qualquer tipo de malware nele.) Se você usar Main, Universe e seu PPA do Google Chrome, você estará seguro.

Se o Ubuntu ganhar muitos usuários, então sim, provavelmente haverá mais malware. Eu não acho que seria o suficiente para ser um problema real.

Quais repositórios do Ubuntu são totalmente seguros e livres de malware?

Responder1

Responder2

Responder3

informação relacionada