Jak rozpoznać, czy pakiet instalowany przez yaourt na Arch Linuxie może być szkodliwy dla mojego komputera? Przeczytałem na wiki, że powinienem sprawdzać każdą instalację, którą zrobię z tobą. Ale co dokładnie muszę sprawdzić i jak rozpoznać złośliwe pakiety?
arch-linux
security
yaourt
lup3x
źródło
źródło
aur-foo
opakowanie jest szkodliwe, czy nie. Czy istnieje ogólna reguła lub algorytm? Myślę, że nie. A czytanie PKGBUILD nie wystarczy - pomyśl, że zainstaluje szkodliwy program C. Czy czytasz pełny kod źródłowy przed instalacją? Myślę, że powinien sprawdzić komentarze (dotyczące raportów, ostrzeżeń) i głosów (jeśli jest wiele głosów, nie wydaje się to takie złe). Używam wielu pakietów AUR i myślę, że większość z nich jest dobra. Ale ... diabeł nigdy nie śpi :)Odpowiedzi:
Nie można tak naprawdę nie przeprowadzić obszernego audytu kodu i obserwować go w akcji „z zewnątrz”, na przykład za pomocą maszyny wirtualnej. Nie ma kuloodpornego sposobu na znalezienie szkodliwych pakietów, a na pewno nie ma zautomatyzowanego sposobu, którego nie można by stosunkowo łatwo obejść. Niektóre rzeczy, które możesz realistycznie zrobić, z których żadna nie jest srebrnymi kulami:
Wreszcie jedynym bezpiecznym oprogramowaniem nie jest oprogramowanie. Czy na pewno musisz zainstalować oprogramowanie, któremu nie ufasz? Czy nie ma dobrze znanej, zaufanej alternatywy?
źródło
Jak wspomniano wcześniej, nie możesz być tego pewien.
Jedną z głównych heurystyk, z których osobiście korzystam, są:
Gdybym miał zamiar zainstalować to ręcznie, i tak pobrałbym go z spotify.com, więc w moich książkach jest to w porządku. Krótkie przeglądanie reszty PKGBUILD i wydaje się, że nie robi to nic oczywistego. Oczywiście są sposoby, aby być podstępnym, ale myślę, że głównym celem każdego złośliwego kodu w AUR będą ludzie używający twojego itp., Którzy zwykle nie czytają PKGBUILD przed zainstalowaniem oprogramowania i nie zauważyliby problemu, nawet gdyby było to oczywiste .
źródło