LINUX.ORG.RU
ФорумLinux-install

Безопасна ли покупка open source software?


0

0

Доброго времени суток, уважаемые участники форума!

Меня беспокоит следующий вопрос: существуют ли механизмы, гарантирующие, что при покупке CD-диска(ов) с каким-либо open source продуктом (например, Red Hat Linux), я куплю его в нетронутом виде, без каких-либо вредоносных исправлений в исходниках?

Очень странный и наивный вопрос.

Если внимательно посмотрите архив новостей, то обнаружите кучи патчей к дыркам. Другое дело, что они обнаруживаются и заделываются достаточно быстро.

Для решения вопросов вредоносности можно воспользоваться специальными дистрибутивами: http://www.altlinux.ru/index.php?module=utes http://www.altlinux.ru/index.php?module=chainmail1

binr ★★
()

Нет.

Но наличие исходников гарантирует, что ты сможешь это отследить.

Прецеденты были, когда хакеры взламывали репозитории и пытались сделать подмену, но репозитории сразу блокировались и все исправлялось.

Естественно, что в релизы такие штуки не попадали (тьфу, тьфу, тьфу).

jackill ★★★★★
()

Если ты имеешь в виду - не добавил-ли кто из составителей CD отсебятины - на этот случай есть md5sum и gnupg, и на сайтах (те-же RedHat-ы, тот-же kernel.org) обычно публикую цифровые подписи и сигнатуры к файлам - проверить не сложно. А отследить - не ломанул ли кто тот-же kernel.org и не внес пару-тройку строчек в новый релиз ядра - это уже другая история :) Но обычно замечают довольно шустро, было несколько случаев.

quarck
()
Ответ на: комментарий от quarck

Re[2]: Безопасна ли покупка open source software?

To binr, jackill: Действительно, я имел в виду "бэкдоры", но немного в другом ключе - диски печатает кто попало, при наличии открытого кода ему намного легче оставить в программе свои закладки.
А есть ли в Санкт-Петербурге какие-либо официальные места распространения Linux'а (в частности, Red Hat)?

quarck wrote: "Если ты имеешь в виду - не добавил-ли кто из составителей CD отсебятины...".
Да-да-да, я именно это и имею в виду. :)

quarck wrote: "...на этот случай есть md5sum и gnupg...".
А можно чуть подробнее? Что это такое, где берут и как пользуют?

Watsenzook
() автор топика
Ответ на: Re[2]: Безопасна ли покупка open source software? от Watsenzook

>А можно чуть подробнее? Что это такое, где берут

Берут на сайте производителя дистрибутива. Вменяемые сборщики также кладут текстовые файлы с md5 signature на диски.

>и как пользуют?

ну, например, так:

$ cat /dev/cdrom 2>/dev/null | md5sum

в результате в консоли ты увидишь md5-подпись и сравнишь с той, что на диске и на сайте. Если совпадает - значит всё ОК. Если нет, то или есть бэкдоры, или, вероятней всего, какие-то пакеты были повреждены при сборке или загрузке из инета сборщиками.

bsh ★★★
()
Ответ на: комментарий от bsh

Re[4]: Безопасна ли покупка open source software?

To binr, bsh: Спасибо! В эти выходные скорее всего пойду покупать Red Hat 9.0 в указанное место. :)

Watsenzook
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Linux-install