История изменений
Исправление TheAnonymous, (текущая версия) :
Вопрос подмены бинарника, упирается в вопрос защиты инфраструктуры
Если скомпрометирована инфраструктура самого дистрибутива, то это проблема будет, да, в любом случае. И даже если весь софт у пользователя будет из snap-пакетов, остаются системные компоненты, как ядро.
Но если это была инфраструктура какого-нибудь gimp, то вероятно это затронет лишь тех, кто скачает сборки с их сайта, т.е. сейчас это windows-сборки. А распространение «самодостаточных пакетов» для линуксов приведёт к тому, что затрагивать будет и линуксы.
А теперь смотри, gimp из пакета с сайта разработчика, libreoffice, firefox, mpv, ещё 9000 программ. И если хоть где-то инфраструктура скомпрометирована, то сразу проблема у пользователей. Причём сразу всех дистрибутивов (пакеты то универсальные).
Самодостаточный пакет решает задачу самодостаточности установщика
Я к тому, что если пакеты будут собирать мейнтейнеры дистрибутивов, каждые для своего дистрибутива, самодостаточные пакеты и не нужны
эталонные суммы пакетов
Проверяет пакетный менеджер.
А вот с универсальным пакетом неясно, какие там суммы, кто его будет подписывать?
Когда хотят, тогда спокойно внедряют и кейлоггеры и майнеры и что хочешь, мейнтейнеры дистров такие же раздолбаи
Более того, бывает сами мейнтейнеры и внедряют, пусть и ненамеренно, см. древний случай с openssl в debian.
Но суть в том, что в закрытом коде можно внедрять совсем нагло, и обнаруживать и нейтрализовывать это будет сложнее.
Исходная версия TheAnonymous, :
Вопрос подмены бинарника, упирается в вопрос защиты инфраструктуры
Если скомпрометирована инфраструктура самого дистрибутива, то это проблема будет, да, в любом случае. И даже если весь софт у пользователя будет в snap-пакетов, остаются системные компоненты, как ядро.
Но если это была инфраструктура какого-нибудь gimp, то вероятно это затронет лишь тех, кто скачает сборки с их сайта, т.е. сейчас это windows-сборки. А распространение «самодостаточных пакетов» для линуксов приведёт к тому, что затрагивать будет и линуксы.
А теперь смотри, gimp из пакета с сайта разработчика, libreoffice, firefox, mpv, ещё 9000 программ. И если хоть где-то инфраструктура скомпрометирована, то сразу проблема у пользователей. Причём сразу всех дистрибутивов (пакеты то универсальные).
Самодостаточный пакет решает задачу самодостаточности установщика
Я к тому, что если пакеты будут собирать мейнтейнеры дистрибутивов, каждые для своего дистрибутива, самодостаточные пакеты и не нужны
эталонные суммы пакетов
Проверяет пакетный менеджер.
А вот с универсальным пакетом неясно, какие там суммы, кто его будет подписывать?
Когда хотят, тогда спокойно внедряют и кейлоггеры и майнеры и что хочешь, мейнтейнеры дистров такие же раздолбаи
Более того, бывает сами мейнтейнеры и внедряют, пусть и ненамеренно, см. древний случай с openssl в debian.
Но суть в том, что в закрытом коде можно внедрять совсем нагло, и обнаруживать и нейтрализовывать это будет сложнее.