Задать вопрос

Есть ли защита пакета от backdoor внедренного maintainer'ом?

Задумался сейчас над этим вопросом и не нашел ответа.
А какая защита существует от того, что мейнтейнер, собирающий rpm или deb например пакет для какого-нибудь Linux, может внедрить туда backdoor по собственной злонамеренности или под давлениеv со стороны?
Какие есть гарантии того, что пакет скачанный из репозитория не содержит бекдоров внедренных мейнтейнером?
  • Вопрос задан
  • 654 просмотра
Подписаться 3 Оценить 4 комментария
Пригласить эксперта
Ответы на вопрос 2
Adamos
@Adamos
Обычно есть два репозитория - один с бинарниками, другой с исходниками.
Не верите майнтейнерам - компилите сами, кто ж вам мешает.
Не верите заодно и автору - читайте код, он открыт.
Кто угодно может проверить, собрать все самостоятельно и убедиться в аутентичности или заметить подлог.
Поэтому обычно майнтейнерам можно доверять...

Можете спросить себя, какая у вас защита от бэкдора в проприетарном софте, который вам предоставляется в бинарном виде в аренду на условиях лицензии. Так, для сравнения.
Ответ написан
Albibek
@Albibek
Вопросы есть? А если найду?
Каждый из пакетов подписывается на закрытом ключе, ключи распространяются с дистрибутивом. Весь вопрос в том, кто владеет закрытым ключом для подписи.
Если это создатели дистрибутива, то они доверяют мейтнейнеру и, вероятнее всего, подписывают пакеты не глядя в изменения. Возможно, у них есть какой-то дополнительный контроль за самими мейнтейнерами, но я про такой не слышал. В любом случае, это надо выяснять для каждого конкретного дистрибутива, узнавать их модель разработкии и способы контроля качества. Думаю, вы найдёте публикации на официальных сайтах.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы