Czy programy w programie Ubuntu Software Center są bezpłatne?

35

W centrum oprogramowania Ubuntu są różne sekcje dla programów

  • Dostarczone przez Ubuntu
  • Partnerzy kanoniczni
  • Do kupienia

Wiem, że wszystkie z nich są typu open source; ale czy firma Canonical przeprowadza proces sprawdzania poprawności, aby upewnić się, że są one wolne od oprogramowania szpiegującego lub złośliwego oprogramowania ?

Zastanawiam się, czy ktokolwiek będzie miał czas, aby przyjrzeć się tym wszystkim (około 2355 programów na razie), kodowi oprogramowania, który również dla każdej wersji !!

Martwię się, ponieważ rutynowo instaluję raczej niepopularne oprogramowanie z centrum oprogramowania :)

software-installation software-center AIB
źródło
1
Oprogramowanie „Do zakupu” nie jest oprogramowaniem typu open source, w przeciwnym razie ludzie nie musieliby go kupować. A oprogramowanie partnerskie nie zawsze jest open source, Skype nie jest otwarty np.
Martin Ueding
8
@queueoverflow można pobierać opłaty za oprogramowanie typu open source.
dv3500ea,
3
@queueoverflow: qtiplot byłby jednym przykładem, opłaty za pliki binarne i umowy wsparcia, możesz skompilować się za darmo. :-)
Christoph
2
Cóż, nie sądzę, aby w dziale Do zakupu znajdowało się oprogramowanie typu open source, ale może być w przyszłości.
dv3500ea,
1
@christoph: Zakładam, że większość ludzi nie wie, jak to skompilować, więc rozsądnie jest tak sobie z tym poradzić.
Martin Ueding

Odpowiedzi:

27

Czy istnieje proces zapewniający brak złośliwego oprogramowania? Nie. Nie ma żadnych gwarancji.

Istnieje jednak kilka mechanizmów, aby spróbować to wykryć, ale chociaż nie chcę być zbyt zgubny, to jeśli jesteśmy szczerzy, prawdopodobnie nie jesteś tak bezpieczny, jak chcesz.

  1. Projekt najpierw musi zostać dodany do Ubuntu. Jak mówi Rinzwind, na tym etapie dokonywane są kontrole, ale tak naprawdę to tylko wierzchołek góry lodowej, który jest życiem pakietu w Ubuntu.

  2. Pierwszą prawdziwą linią obrony dla pakietów długoterminowych są ich opiekunowie projektów. Ci ludzie dbają o swoje projekty i akceptują łatki, aby je ulepszać. Oni są ludźmi. Popełniają błędy i tęsknią. A niektórzy mogą być leniwi.

    Możliwe, że zła osoba mogłaby przemycić niektóre złośliwe oprogramowanie obok nich, włączając oryginalne ulepszenia wraz ze złośliwym oprogramowaniem.

    Jeśli opiekun dopuści do projektu coś złego, zapisz udany audyt, istnieje prawdopodobieństwo, że kod trafi na maszyny użytkowników Ubuntu.

  3. Audyty bezpieczeństwa są drugim krokiem. Sprawdza to kod i uruchamia go na monitorach w celu wykrycia złych rzeczy. O ile mi wiadomo, nie ma oficjalnego zespołu Canonical zajmującego się bezpieczeństwem, ale istnieją dwa zespoły społeczności (Ubuntu Security i MOTU SWAT), które obsługują wszystkie pakiety między nimi.

    Audytowanie działa naprawdę tylko wtedy, gdy każdy wiersz kodu jest sprawdzany poprawnie, zanim trafi do użytkowników. Nie jest to zbyt praktyczne ze względu na ilość kodu i liczbę aktualizacji, o których mówimy. Wykonanie tego w ten sposób wymagałoby ogromnej ilości czasu i pieniędzy.

    W świecie otwartego oprogramowania istnieje założenie, że tylko dlatego, że ktoś może zobaczyć to źródło, ma je. Jest to bardzo niebezpieczny etos do utrzymania.

    Poprawki bezpieczeństwa są w dużej mierze reakcyjne na osoby, które znajdują i ujawniają dziury. Co się stanie, jeśli ktoś ujawni znalezioną dziurę?

  4. Inne problemy zgłaszane przez „użytkowników końcowych” to ostatni prawdziwy mechanizm wykrywania i bądźmy szczerzy, dobre złośliwe oprogramowanie nie powiadomi użytkownika o problemie, dopóki nie będzie za późno, aby coś zmienić. Dobrze napisane złośliwe oprogramowanie nie przerzuci ekranu ani nie ukradnie całego pasma, pozostanie w tle, rejestrując wszystkie dane bankowe, zanim opublikuje je gdzieś na anonimowym wysypisku.

Cały proces zależy od wcześniejszych projektów w celu utrzymania własnego poziomu bezpieczeństwa. Jeśli ktoś prześlizgnie się coś poza konserwatora kalkulatora Gnome, istnieje szansa, że ​​wszyscy go przegapią. Zespół bezpieczeństwa też nigdy tego nie podejrze.

Na szczęście większość opiekunów jest dobra w tym, co robią. Znają swoją bazę kodów i jeśli nie rozumieją łat, odrzucą je na podstawie tego, że nie są wystarczająco jasne.

Jeśli chodzi o ocenę ryzyka, przy użyciu czegoś, co jest znacznie mniej popularne, prawdopodobnie mniej oczu sprawdza kod. Ale podobnie jest prawdopodobnie mniej zatwierdzeń, więc dopóki opiekun nie jest leniwy (lub zły), mogą mieć więcej czasu na poradzenie sobie z każdym zatwierdzeniem. Trudno dokładnie określić, na jakie ryzyko jesteś narażony. Bezpieczeństwo oprogramowania typu open source zależy od zdolnych ludzi spoglądających na kod.

I odwrotnie, zamknięte źródła (w repozytorium partnera i zakupu) są całkowicie niezbadane przez społeczność. Kanoniczny może mieć pewien dostęp do źródła, ale szczerze mówiąc, wątpię, czy mają środki, aby przeprowadzić gruntowne audyty, nawet jeśli mieliby dostęp do źródła i chcieli.

Podobnie z PPA, masz bardzo małą ochronę, chyba że sam chcesz zanurzyć się w źródle. Użytkownicy mogą dodawać do kodu źródłowego, co im się podoba, i chyba, że ​​sami to sprawdzicie (i jesteście w stanie wykryć złośliwe oprogramowanie), jesteście owcą otoczoną wilkami. Ludzie mogą zgłaszać złe umowy PPA, ale coś się dzieje zależy od sprawdzenia i potwierdzenia problemu przez inne osoby. Jeśli duża witryna (np. OMGUbuntu) zaleca PPA (jak to często robią), wielu użytkowników może mieć problemy w dalszej kolejności.

Aby spotęgować ten problem, niższy udział użytkownika Linuksa w rynku oznacza, że ​​jest po prostu mniej dostępnego oprogramowania do wyłapywania złego kodu. Nienawidzę tego mówić, ale przynajmniej w przypadku systemu Windows dziesiątki firm spędzają każdy dzień roboczy, dowiadując się, jak działa złe oprogramowanie, jak je wykryć i jak je usunąć. To był rynek zrodzony z konieczności i chociaż nie chcę tego mówić, rzeczy prawdopodobnie pogorszą się tutaj, zanim poprawią się.

Dla paranoików bezpieczeństwa jakiś czas temu napisałem krótki artykuł: Linux nie jest niewrażliwy. Nie mów tak. . Przekradanie się do repozytorium prawdopodobnie nie będzie głównym wektorem ataku dla dupków rozpowszechniających złośliwe oprogramowanie. O wiele bardziej prawdopodobne jest, że będą grać na chciwości i głupocie użytkowników, aby zmusić ich do zainstalowania zainfekowanych plików .deb.

Oli
źródło
3
Zaletą sprawdzonych repozytoriów jest to, że generalnie są one o rząd wielkości bezpieczniejsze niż instalacja oprogramowania w modelu nie-repozytorium, na przykład instalacja z exe. Tak, nigdy nie jesteś bezpieczny. Ale generalnie jesteś prawdopodobnie bezpieczniejszy.
Kzqai,
Czy chciałeś napisać Co się stanie, jeśli ktoś ujawni znalezioną dziurę ?
tshepang
25

Tak. Paczki są sprawdzane przez społeczność (więc mogę zainstalować niektóre złośliwe oprogramowanie, ale wiadomości te będą szybko rozprzestrzeniać się wśród wszystkich użytkowników).

Aplikacje muszą być zgodne z bardzo surowymi zasadami określonymi w licencjonowaniu .

Strona wiki dla nowych pakietów zawiera nieco więcej informacji:

Przechodząc przez MOTU

Pakiety, które nie są jeszcze w Ubuntu, wymagają dodatkowej kontroli i przechodzą specjalny proces recenzji, zanim zostaną przesłane i otrzymają ostateczną recenzję od administratorów archiwów . Więcej informacji na temat procesu recenzji, w tym kryteriów, które zostaną zastosowane, można znaleźć na stronie recenzentów kodu . Zachęcamy programistów do sprawdzenia własnych pakietów przy użyciu tych wytycznych przed przesłaniem ich do recenzji.

Aby otrzymywać raporty o błędach wyższej jakości, napisz haczyk dla twojego pakietu.

To powiedziawszy: ogólny pomysł jest taki. Jeśli znajdziesz coś podejrzanego, zgłoś to na starterze, askubuntu, ubuntuforums i ktoś to odbierze.

Może się zdarzyć, że twórca złośliwego oprogramowania utworzy prawidłowy pakiet, zaakceptuje go, a następnie dokona aktualizacji, która doda złośliwe oprogramowanie. Co najmniej jeden z wielu zawsze to łapie, a on / ona zgłosi to gdzieś. W ten sposób nie będzie można dostać się na wiele maszyn. (wysiłek włożenia go na nasze maszyny jest zbyt duży dla potencjalnej nagrody: celowanie w maszyny z systemem Windows jest znacznie łatwiejsze).

Przykład sytuacji, w której trzmiel bardzo się psuje . Ktoś pominął spację i / usr został usunięty ... niektórzy ludzie zostali dotknięci, 1 opublikował ostrzeżenie z czerwonymi flagami i teraz wszyscy wiemy. Twórca naprawia to (szybciej niż prędkość światła), ale uszkodzenia zostały wyrządzone kilku systemom. I to był błąd, a nie celowy, aby mogło się zdarzyć;)

Rinzwind
źródło
4
Należy zauważyć, że istnieje pewne ryzyko związane z innymi źródłami, które integrują się z Centrum Oprogramowania Ubuntu, takimi jak Getdeb lub różne umowy PPA. Jednak jeśli ich nie użyjesz, powinieneś być bezpieczny.
jnv
@jnv dobre połączenie :) Zmieniłem pierwszą linię i teraz obejmuje ona także ppas;)
Rinzwind
Twój przykład jest nieprawidłowy. trzmiel nie jest obecny w repozytorium.
Lincity,
Nie zgadzam się. Wszystko, co zostanie zainstalowane, jest oceniane równo: użytkownicy sprawdzają, więc jest to prawidłowy przykład przypadkowego (!) Błędu. Dlatego też jest to celowe, ale należy się skupić na tym, że użytkownicy mówią innym, że ma wadę. Nie sama wada;)
Rinzwind
pytanie dotyczyło centrum oprogramowania.
Lincity,
5

Zakładam, że nikt cię nie zapewni. Musisz sprawdzić, co się stanie, aby pakiet został dodany do indeksu pakietów Debiana, ale myślę, że powinieneś być w stanie włożyć w to coś złego.

Możesz skonfigurować maszynę wirtualną i wypróbować tam oprogramowanie, a następnie przejrzeć ruch sieciowy iftopi sprawdzić, czy aplikacje komunikują się z domem. Możliwe, że nigdy nic nie zobaczysz, ponieważ jest zbyt dobrze ukryty.

Open Source nie oznacza bezpieczeństwa, tylko dlatego, że można spojrzeć na kod, nie oznacza, że ​​ktoś to zrobił.

Martin Ueding
źródło
2

Aby opublikować kod w PPA na starterze, musisz skonfigurować openPGP i utworzyć klucz dołączony do adresu e-mail. Aby podpisać paczkę, potrzebujesz kopii klucza prywatnego na komputerze lokalnym i hasła (które nigdzie nie są przechowywane). Jeśli pakiet ma problemy z bezpieczeństwem, odnalezienie autora powinno być stosunkowo łatwe. Zakładam, że główne repozytoria dla Ubuntu i Debiana są przynajmniej tak bezpieczne.

Większość projektów typu open source ma centralne repozytorium z co najmniej ochroną na poziomie ssh (hasło i / lub para kluczy publiczny / prywatny). Uzyskiwanie nieautoryzowanego dostępu tutaj jest trochę łatwiejsze niż PPA, ale nie trywialne. Systemy kontroli wersji zazwyczaj rejestrują użytkownika, który dokonuje każdego zatwierdzenia, i dość łatwo można ustalić, co robi zatwierdzenie.

Zawsze można próbować wsunąć coś w łatkę, ale jest to ryzykowna propozycja. Większość programistów nie akceptuje łatki, która jest zbyt duża, aby ją łatwo odczytać. Jeśli zostaniesz złapany, to w zasadzie to tyle.

Pozostaje jeszcze pewna ilość do zaufania, więc możliwe jest, że ktoś dostanie oprogramowanie szpiegujące do Ubuntu. Być może będziemy musieli się martwić, jeśli udział w rynku Ubuntu znacznie wzrośnie.

użytkownik20304
źródło
Każdy może wykonać klucz GPG. Mogłem skonfigurować maszynę wirtualną, wygenerować klucz o fałszywej nazwie i nikt nie byłby mądrzejszy. Musisz szukać sieci zaufania, aby naprawdę ocenić GPG, a nawet to nie jest kanoniczne.
Martin Ueding