उबंटू सॉफ्टवेयर सेंटर स्पाइवेयर फ्री में प्रोग्राम हैं?


35

उबंटू सॉफ्टवेयर सेंटर में प्रोग्राम के लिए अलग-अलग सेक्शन हैं

  • उबंटू द्वारा प्रदान किया गया
  • कैनोनिकल पार्टनर्स
  • खरीद के लिए

मुझे पता है कि ये सभी ओपन-सोर्स हैं; लेकिन क्या यह सुनिश्चित करने के लिए कि वे किसी भी स्पाइवेयर या मैलवेयर से मुक्त हैं, क्या कैनन द्वारा कोई सत्यापन प्रक्रिया की गई है ?

मुझे आश्चर्य है कि किसी को भी इन सभी (2355 कार्यक्रमों या अब के रूप में) को देखने के लिए समय मिलेगा, सॉफ्टवेयर कोड है कि हर रिलीज के लिए भी !!

मैं चिंतित हूं क्योंकि मैं सॉफ्टवेयर सेंटर से नियमित रूप से अलोकप्रिय सॉफ़्टवेयर स्थापित करता हूं :)


1
"खरीद के लिए" सॉफ्टवेयर खुला स्रोत नहीं है, अन्यथा लोगों को इसे खरीदने की आवश्यकता नहीं होती। और पार्टनर सॉफ्टवेयर हमेशा खुला स्रोत नहीं है, स्काइप खुला नहीं है जैसे
मार्टिन यूडिंग

8
@queueoverflow ओपन सोर्स सॉफ्टवेयर के लिए चार्ज करना संभव है।
DV3500ea

3
@queueoverflow: qtiplot एक उदाहरण होगा, बायनेरिज़ और समर्थन अनुबंधों के लिए शुल्क, आप खुद को मुफ्त में संकलित करने के लिए स्वागत करते हैं। :-)
क्रिस्टोफ़

2
वैसे मुझे नहीं लगता कि वर्तमान में फोर्स खरीद अनुभाग में कोई खुला स्रोत सॉफ्टवेयर है, लेकिन भविष्य में हो सकता है।
DV3500ea

1
@ क्राइस्टोफ: मेरा मानना ​​है कि अधिकांश लोग यह नहीं जानते कि इसे कैसे संकलित किया जाए, इसलिए इसे इस तरह से संभालने के लिए समझ में आता है।
मार्टिन उडिंग

जवाबों:


27

क्या यह सुनिश्चित करने के लिए कोई प्रक्रिया है कि कोई मैलवेयर नहीं है? नहीं, इसकी कोई गारंटी नहीं है।

हालाँकि, इसे आज़माने और पता लगाने के लिए कई तंत्र हैं, लेकिन जब मैं बहुत अधिक कयामत-और-उदास नहीं होना चाहता, अगर हम ईमानदार हैं, तो आप शायद उतने सुरक्षित नहीं हैं जितना आप बनना चाहते हैं।

  1. एक परियोजना को पहले उबंटू में जोड़ा जाना है। जैसा कि रिन्जविंड कहते हैं, इस स्तर पर जांच की जाती है, लेकिन यह वास्तव में केवल हिमशैल की नोक है जो उबंटू में एक पैकेज का जीवन है।

  2. दीर्घकालिक पैकेज के लिए रक्षा की पहली वास्तविक रेखा उनकी परियोजना अनुरक्षक है। ये लोग उनकी परियोजनाओं की देखभाल करते हैं और उन्हें सुधारने के लिए पैच स्वीकार करते हैं। वे इंसान हैं। वे गलती करते हैं और चीजों को याद करते हैं। और कुछ आलसी हो सकते हैं।

    यह संभव है कि एक बुरा व्यक्ति मैलवेयर के साथ-साथ वास्तविक सुधारों को शामिल करके पिछले कुछ मैलवेयर को छीन सकता है।

    यदि किसी चीज़ को उसके रखवाले द्वारा किसी प्रोजेक्ट में डाला जाता है, तो एक सफल ऑडिट को सहेजें, संभावना है कि कोड उबंटू उपयोगकर्ताओं की मशीनों पर समाप्त हो जाएगा।

  3. सुरक्षा ऑडिट दूसरा चरण है। यह कोड की जांच कर रहा है और खराब चीजों का पता लगाने के लिए इसे मॉनिटर के खिलाफ चला रहा है। जहां तक ​​मुझे पता है, सुरक्षा के लिए समर्पित एक आधिकारिक कैननिकल टीम नहीं है, लेकिन दो सामुदायिक टीमें हैं (उबंटू सुरक्षा और मोटू स्वाट) जो उनके बीच सभी पैकेजों को संभालती हैं।

    ऑडिटिंग केवल वास्तव में काम करता है अगर उपयोगकर्ताओं को बाहर जाने से पहले कोड की हर पंक्ति को ठीक से जांचा जाए। यह वास्तव में कोड और अद्यतनों की संख्या के बारे में व्यावहारिक नहीं है, जिनके बारे में हम बात कर रहे हैं। यह इस तरह से करने के लिए भारी मात्रा में समय और पैसा लगेगा।

    खुले स्रोत की दुनिया में एक धारणा है कि सिर्फ इसलिए कि कोई व्यक्ति स्रोत को देख सकता है , उनके पास है। यह बनाए रखने के लिए एक बहुत ही खतरनाक लोकाचार है।

    छेद को खोजने और खुलासा करने वाले लोगों के लिए सुरक्षा सुधार काफी हद तक प्रतिक्रियावादी हैं। अगर कोई छेद ढूंढता है तो क्या होता है?

  4. अन्य "एंड यूजर्स" रिपोर्टिंग समस्याएं अंतिम वास्तविक पहचान तंत्र है और चलो ईमानदार रहें, अच्छा मैलवेयर उपयोगकर्ता को यह पता नहीं चलने देगा कि कोई फर्क करने में बहुत देर हो चुकी है। अच्छी तरह से लिखा मैलवेयर आपकी स्क्रीन को फ्लिप करने या आपके सभी बैंडविड्थ को चुराने वाला नहीं है, यह पृष्ठभूमि में वहां बैठने जा रहा है, आपके सभी बैंकिंग विवरणों को लॉग इन करने से पहले यह सभी को किसी गुमनाम डंप में कहीं पोस्ट करता है।

पूरी प्रक्रिया अपने स्वयं के सुरक्षा स्तरों को बनाए रखने के लिए अपस्ट्रीम परियोजनाओं पर निर्भर करती है। अगर किसी ने गनोम कैलकुलेटर के अनुरक्षक के पीछे कुछ फिसल गया, तो संभावना है कि यह रेखा के नीचे हर किसी के द्वारा छूटेगी। एक सुरक्षा दल कभी भी इस पर संदेह नहीं करेगा।

शुक्र है कि अधिकांश अनुरक्षक अच्छे हैं कि वे क्या करते हैं। वे अपने कोडबेस को जानते हैं और अगर वे पैच नहीं समझते हैं, तो वे उन्हें इस आधार पर अस्वीकार कर देंगे कि वे पर्याप्त स्पष्ट नहीं हैं।

जोखिम मूल्यांकन के संदर्भ में, किसी ऐसी चीज का उपयोग करके, जो बहुत कम लोकप्रिय है, कोड की जांच करने की संभावना कम आँखें हैं। लेकिन इसी तरह शायद कुछ कम होते हैं, इसलिए जब तक अनुचर आलसी (या बुरा) नहीं होता, तब तक उनके पास प्रत्येक वचन से निपटने के लिए अधिक समय हो सकता है। यह कहना मुश्किल है कि आप कितने जोखिम में हैं। ओपन सोर्स सॉफ्टवेयर की सुरक्षा कोड को देखने में सक्षम लोगों पर निर्भर करती है।

इसके विपरीत, बंद स्रोत आइटम (साझेदार और खरीद भंडार में) समुदाय द्वारा पूरी तरह से अनधिकृत हैं। Canonical में कुछ स्रोत उपयोग हो सकते हैं, लेकिन स्पष्ट रूप से मुझे संदेह है कि उनके पास स्रोत को एक्सेस करने और चाहने पर भी चीजों को पूरी तरह से ऑडिट देने के लिए संसाधन हैं।

इसी तरह PPA के साथ, आपको तब तक बहुत कम सुरक्षा मिलती है जब तक आप स्वयं स्रोत में गोता नहीं लगाना चाहते। उपयोगकर्ता स्रोत कोड को जो कुछ भी पसंद करते हैं उसे जोड़ सकते हैं और जब तक आप इसे स्वयं नहीं देख सकते हैं (और आप मैलवेयर का पता लगाने में सक्षम हैं), आप भेड़ियों से घिरे हैं। लोग खराब पीपीए की सूचना दे सकते हैं, लेकिन कुछ हो रहा है जो अन्य लोगों पर निर्भर करता है कि वे समस्या की जाँच और पुष्टि करें। यदि एक बड़ी साइट (उदाहरण के लिए OMGUbuntu) ने पीपीए की सिफारिश की (जैसा कि वे अक्सर करते हैं), बहुत से उपयोगकर्ताओं के पास लाइन के मुद्दे हो सकते हैं।

समस्या को कम करने के लिए, लिनक्स उपयोगकर्ता के निचले बाजार में हिस्सेदारी का मतलब है कि हमारे पास कम कोड उपलब्ध है जो खराब कोड का शिकार करते हैं। मुझे यह कहने से नफरत है लेकिन कम से कम विंडोज के साथ, आपके पास हर काम करने में दर्जनों कंपनियां खर्च करती हैं, यह पता लगाना कि सॉफ्टवेयर कितना खराब काम करता है, इसका पता कैसे लगाया जाए और इसे कैसे हटाया जाए। यह एक ऐसा बाजार था जो आवश्यकता से पैदा हुआ था और जबकि मुझे यह कहने से भी नफरत है, शायद चीजें बेहतर होने से पहले यहां खराब होने जा रही हैं।

सुरक्षा व्यामोह के लिए, मैंने कुछ समय पहले एक छोटा लेख लिखा था: लिनक्स अजेय नहीं है। यह मत कहो। । रिपॉजिटरी में छींकने वाली चीजें शायद मैलवेयर वितरित करने वाले गधों के लिए प्राथमिक हमला वेक्टर नहीं हैं। यह बहुत अधिक संभावना है (IMO) कि वे उपयोगकर्ताओं के लालच और मूर्खता पर खेलेंगे ताकि उन्हें फील्डर स्थापित करने में मदद मिल सके।


3
वेट किए गए रिपॉजिटरी के बारे में अच्छी बात यह है कि वे आम तौर पर एक गैर-रिपॉजिटरी मॉडल में सॉफ़्टवेयर इंस्टॉलेशन की तुलना में अधिक सुरक्षित होने के आदेश देते हैं, जैसे एक exe से कुछ भी स्थापित करना। तो, हाँ, आप कभी भी सुरक्षित नहीं हैं। लेकिन आम तौर पर आप शायद सुरक्षित-एर हैं।
कजकाई

क्या आपके लिखने का मतलब यह है कि अगर कोई किसी छेद को खोज ले तो क्या होगा ?
tshepang

25

हाँ। संकुल समुदाय द्वारा जाँच की जाती है (इसलिए 1 कुछ मैलवेयर स्थापित कर सकता है लेकिन यह खबर सभी उपयोगकर्ताओं के बीच तेज़ी से फैलेगी)।

ऐप्स को लाइसेंसिंग में उल्लिखित बहुत सख्त नियमों का पालन करना होगा ।

नए पैकेज के लिए विकी पेज में थोड़ी अधिक जानकारी है:

MOTU के माध्यम से जा रहे हैं

वे पैकेज जो अभी तक उबंटू में नहीं हैं, अतिरिक्त जांच की आवश्यकता है और एक विशेष समीक्षा प्रक्रिया से गुजरते हैं, इससे पहले कि वे अपलोड हो जाएं और संग्रह व्यवस्थापक द्वारा अंतिम समीक्षा प्राप्त करें । समीक्षा प्रक्रिया के बारे में अधिक जानकारी, मापदंड सहित जो लागू किया जाएगा, कोड समीक्षक पृष्ठ पर पाया जा सकता है । डेवलपर्स को समीक्षा के लिए प्रस्तुत करने से पहले इन दिशानिर्देशों का उपयोग करके अपने स्वयं के पैकेजों की जांच करने के लिए प्रोत्साहित किया जाता है।

उच्च गुणवत्ता वाली बग रिपोर्ट प्राप्त करने के लिए अपने पैकेज के लिए एक एपर्ट हुक लिखें ।

उस ने कहा: सामान्य विचार है। यदि आपको कुछ संदेहास्पद लगता है तो आप इसे लॉन्चपैड, आस्कुबंटु, यूबुंटफोरम और किसी पर रिपोर्ट करेंगे।

क्या हो सकता है कि मैलवेयर का एक निर्माता एक वैध पैकेज बनाता है, इसे स्वीकार कर लिया जाता है और फिर एक अद्यतन बनाता है जो मैलवेयर जोड़ता है। कम से कम कई में से एक हमेशा इसे पकड़ता है और वह कहीं न कहीं यह रिपोर्ट करेगा। यह इस तरह से बहुत सारी मशीनों पर नहीं जा रहा है। (हमारी मशीनों पर इसे प्राप्त करने का प्रयास संभावित इनाम के लिए बहुत अधिक है: विंडोज़ मशीनों को लक्षित करना बहुत आसान है)।

भौंरा के साथ बहुत गलत होने वाली चीजों का उदाहरण । किसी ने एक स्थान को याद किया और / usr हटा दिया गया ... कुछ लोग प्रभावित हुए, 1 ने लाल झंडे के साथ चेतावनी दी और अब हम सभी जानते हैं। निर्माता इसे ठीक करता है (तेजी से तब प्रकाश की गति) लेकिन नुकसान कई प्रणालियों को किया गया था। और यह एक गलती थी और जानबूझकर नहीं इसलिए ऐसा हो सकता है;)


4
यह ध्यान दिया जाना चाहिए कि अन्य स्रोतों के साथ कुछ जोखिम शामिल हैं, जो उबंटु सॉफ्टवेयर सेंटर को एकीकृत करते हैं, जैसे गेटडेब या विभिन्न पीपीए। हालाँकि यदि आप इनका उपयोग नहीं करते हैं, तो आपको सुरक्षित होना चाहिए।
jnv

); @jnv अच्छा कॉल :) मैं 1 लाइन बदल गया है और यह अब PPAs भी शामिल है
Rinzwind

आपका उदाहरण अमान्य है। भौंरा रेपो में मौजूद नहीं है।
लाइनसिटी

मैं असहमत हूं। जो कुछ भी स्थापित हो जाता है उसका समान रूप से मूल्यांकन किया जाता है: उपयोगकर्ता जाँच करते हैं इसलिए यह गलती से (!) गलत होने का एक वैध उदाहरण है। तो यह उद्देश्य पर करना भी संभव है लेकिन ध्यान केंद्रित करने वाली बात यह है कि उपयोगकर्ता दूसरों को यह बता रहे हैं कि इसमें कोई दोष है। स्वयं दोष नहीं;)
रिनविंड

सॉफ्टवेयर केंद्र के बारे में सवाल था।
लाइनसिटी

5

मुझे लगता है कि कोई भी आपको आश्वासन नहीं दे सकता है। आपको यह जांचना होगा कि डेबियन पैकेज इंडेक्स में जोड़े जाने वाले पैकेज के लिए क्या होना है, लेकिन मुझे लगता है कि आपको कुछ बुराई को वहां खिसकाने में सक्षम होना चाहिए।

आप एक वर्चुअल मशीन सेट कर सकते हैं और वहां के सॉफ़्टवेयर आज़मा सकते हैं, फिर आप नेटवर्क ट्रैफ़िक को कुछ इस तरह iftopसे देख सकते हैं जैसे कि यह एप्लिकेशन घर से बात करता है। संभावना है कि आप कभी भी कुछ नहीं देखेंगे क्योंकि यह बहुत अच्छी तरह से छिपा हुआ है।

ओपन सोर्स का मतलब सुरक्षा नहीं है, सिर्फ इसलिए कि आप कोड को देख सकते हैं इसका मतलब यह नहीं है कि किसी ने किया था।


2

लॉन्चपैड पर एक पीपीए में कोड प्रकाशित करने के लिए आपको ओपनपीजीपी स्थापित करने और एक ईमेल पते से जुड़ी एक कुंजी बनाने की आवश्यकता है। एक पैकेज पर हस्ताक्षर करने के लिए आपको स्थानीय मशीन और पासवर्ड पर निजी कुंजी की प्रतिलिपि की आवश्यकता होती है (जो कहीं भी संग्रहीत नहीं है)। एक पैकेज में सुरक्षा के मुद्दे होने चाहिए लेखक को ट्रैक करना अपेक्षाकृत आसान होना चाहिए। मैं मान रहा हूं कि उबंटू और डेबियन के लिए मुख्य भंडार कम से कम सुरक्षित हैं।

अधिकांश खुले स्रोत परियोजनाओं में कम से कम ssh स्तर की सुरक्षा (पासवर्ड और / या सार्वजनिक / निजी कुंजी जोड़ी) के साथ एक केंद्रीय भंडार होता है। यहां अनधिकृत पहुंच प्राप्त करना ppa की तुलना में थोड़ा आसान है, लेकिन तुच्छ नहीं। वर्जनिंग सिस्टम आमतौर पर उस उपयोगकर्ता को रिकॉर्ड करता है जो प्रत्येक कमिट करता है और यह पता लगाना आसान बनाता है कि कमिट क्या करता है।

कोई हमेशा किसी चीज़ को एक पैच में खिसकाने की कोशिश कर सकता है लेकिन यह एक जोखिम भरा प्रस्ताव है। अधिकांश कोडर एक पैच को स्वीकार नहीं करेंगे जो आसानी से पढ़ने के लिए बहुत बड़ा है। यदि आप पकड़े जाते हैं तो यह बहुत ज्यादा है।

अभी भी एक निश्चित राशि है जिसे भरोसे के लिए छोड़ दिया गया है ताकि यह संभव हो कि कोई व्यक्ति उबंटू में स्पाइवेयर प्राप्त कर सके। शायद यह ऐसी चीज है जिसके बारे में हमें चिंता करनी होगी अगर उबंटू की बाजार हिस्सेदारी काफी बढ़ जाए।


एक GPG कुंजी किसी के द्वारा बनाई जा सकती है। मैं एक वर्चुअल मशीन स्थापित कर सकता हूं, एक नकली नाम के साथ एक कुंजी उत्पन्न करूंगा और कोई भी समझदार नहीं होगा। आपको वास्तव में GPG को जज करने के लिए विश्वास की वेब की तलाश करनी है, और यहां तक ​​कि विहित भी नहीं है।
मार्टिन उडिंग
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.