LINUX.ORG.RU

Проверка пакетов в репозитории


0

0

На линуксовых форумах часто говорят, что устанавливать пакеты из официального репозитория дистрибутива - это безопасно.
Такой вопрос: а как происходит проверка пакета на наличие вредоносного кода при добавлении его в репозиторий или обновлении?
Скажем, на примере той же Ubuntu.

Ответ на: комментарий от manwithgrenade

>там какие-нибудь вредные вставки кода есть

А за это пинать надо разработчиков программы.

devl547 ★★★★★ ()
Ответ на: комментарий от manwithgrenade

Кто-то, может, и просматривает. Мейнтейнеры часто бывают авторами патчей. В любом случае, они эти программы собственноручно тестируют.

И ещё есть фактор репутации, «доброго имени» — едва ли разработчик захочет себя скомпрометировать перед целым сообществом.

GotF ★★★★★ ()
Ответ на: комментарий от manwithgrenade

>Не вручную же весь код просматривают.

он небось только патчи просматривают, а не 10000 строк кода за раз.

dimon555 ★★★★★ ()
Ответ на: комментарий от GotF

> Кто-то, может, и просматривает.

Некоторые мейнтейнеры, возможно, и просматривают код отдельных пакетов и следят за всеми новыми патчами. Но это не для всех же пакетов - их в репозиториях тысячи.

То, что они тщательно тестируют каждый пакет - хм, да тоже сомнительно.

едва ли разработчик захочет себя скомпрометировать


Если уж он решил заняться вредительством, то, разумеется, будет действовать не под своим настоящим именем.

manwithgrenade ()

Тестирование делают не только ментейнеры, но и обычные (ну, не совсем обычные ;) пользователи.

dumal ★★ ()

Да никак не происходит, что проверят, то проверят. Объемы кода сейчас не те, чтобы можно было за короткое время разобраться. Впрочем в проприетарном ПО вообще ничего проверить не представляется возможным.

PayableOnDeath ()
Ответ на: комментарий от manwithgrenade

То, что они тщательно тестируют каждый пакет - хм, да тоже сомнительно.

Это твои фантазии. В Debian тестируют. Что-то может просочиться в совсем экзотических пакетах, но К.О. намекает, что КПД такой «диверсии» стремится к нулю.

В любом случае, лучшей системы не существует. Сертификация M$ в оффтопике? И сколько программ имеют их цифровую подпись? Именно, что до смешного мало.

GotF ★★★★★ ()
Ответ на: комментарий от GotF

А в чём проблема то? Код не меняется кардинально. ПО находит различия текущей и предыдущей версии, после чего мейнтейнер просматривает изменения. Если код изменился очень сильно, то в Debian, пакет вообще попадает в экспериментальную ветку.

Так что всё проверяется.

fdd2 ()

> Да никак не происходит, что проверят, то проверят.

Так что всё проверяется.


Ок, а где-нибудь в правилах закреплены эти обязанности мейнтейнера? То есть, что он должен по возможности просматривать изменения в коде, либо тестировать пакет именно на наличие вредоносного кода, а не ошибок?

manwithgrenade ()
Ответ на: комментарий от manwithgrenade

>Ок, а где-нибудь в правилах закреплены эти обязанности мейнтейнера?

Да. И в них написано, что нужно хорошо учиться, читать умные книжки, а не задавать идиотские вопросы на ЛОРе

Led ★★★☆☆ ()
Ответ на: комментарий от manwithgrenade

Ок, а где-нибудь в правилах закреплены эти обязанности мейнтейнера? То есть, что он должен по возможности просматривать изменения в коде, либо тестировать пакет именно на наличие вредоносного кода, а не ошибок?

Кэп просил передать, что это зависит от дистрибутива.

GotF ★★★★★ ()
Ответ на: комментарий от GotF

Скажем, на примере той же Ubuntu.

За секцию main отвечает Canonical — думаю, это достаточная гарантия. А вот community (не помню точное название) — на совести сопровождающих.

GotF ★★★★★ ()
Ответ на: комментарий от GotF

> Кэп просил передать, что это зависит от дистрибутива.

Скажем, на примере той же Ubuntu.


Или Дебиана, без разницы. Я полистал их вики, ничего такого не нашёл.

У Альта есть рекомендация о том, что мейнтейнеру желательно участвовать в разработке программы, но не обязательно.

В Арче бывали случаи, когда после обновления пакета программу вообще никак не проверяли (она просто не работала).

manwithgrenade ()
Ответ на: комментарий от GotF

С репозиторием main вопросов нет. Там люди деньги получают за свою работу.

А вот community (не помню точное название) — на совести сопровождающих.

universe



Вот мне и интересно, мейнтейнеры universe несут какую-нибудь ответственность в таких случаях?

manwithgrenade ()
Ответ на: комментарий от manwithgrenade

Или Дебиана, без разницы. Я полистал их вики, ничего такого не нашёл.

Строгой политики в этом плане, похоже, нет. Там многое держится на доверии и репутации. Этот вопрос тут уже когда-то довольно детально обсуждался.

В Арче бывали случаи

Не надо путать Арч с нормальными дистрибутивами. Там вообще нормой считается использование помойки-AUR.

Вот мне и интересно, мейнтейнеры universe несут какую-нибудь ответственность в таких случаях?

Перед своей совестью ;-)

// Я, например, полностью доверяю Debian.

GotF ★★★★★ ()
Ответ на: комментарий от manwithgrenade

universe - это на 80% разовый срез реп Debian.
иногда что-то там могут обновить, но чаще не обновляют.
На сколько бинарии universe соотвествуют текущим репам main Ubuntu ?
- а никого не парит , и офицально Canonical не несет ответственности за качество universe ссылаясь на некое «сообщество».
Но все почему-то свято верят, что universe кто-то там обслуживает. Комедия.

elipse ★★★ ()
Ответ на: комментарий от elipse

> Вот засовывание Kde 4.0 в дистры - это была диверсия или глупость ? ))

Это уже отдельный разговор. :)

manwithgrenade ()
Ответ на: комментарий от GotF

> Строгой политики в этом плане, похоже, нет. Там многое держится на доверии и репутации.

Ясно. Всем спасибо за ответы.

manwithgrenade ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.