क्या यह सुनिश्चित करने के लिए कोई प्रक्रिया है कि कोई मैलवेयर नहीं है? नहीं, इसकी कोई गारंटी नहीं है।
हालाँकि, इसे आज़माने और पता लगाने के लिए कई तंत्र हैं, लेकिन जब मैं बहुत अधिक कयामत-और-उदास नहीं होना चाहता, अगर हम ईमानदार हैं, तो आप शायद उतने सुरक्षित नहीं हैं जितना आप बनना चाहते हैं।
एक परियोजना को पहले उबंटू में जोड़ा जाना है। जैसा कि रिन्जविंड कहते हैं, इस स्तर पर जांच की जाती है, लेकिन यह वास्तव में केवल हिमशैल की नोक है जो उबंटू में एक पैकेज का जीवन है।
दीर्घकालिक पैकेज के लिए रक्षा की पहली वास्तविक रेखा उनकी परियोजना अनुरक्षक है। ये लोग उनकी परियोजनाओं की देखभाल करते हैं और उन्हें सुधारने के लिए पैच स्वीकार करते हैं। वे इंसान हैं। वे गलती करते हैं और चीजों को याद करते हैं। और कुछ आलसी हो सकते हैं।
यह संभव है कि एक बुरा व्यक्ति मैलवेयर के साथ-साथ वास्तविक सुधारों को शामिल करके पिछले कुछ मैलवेयर को छीन सकता है।
यदि किसी चीज़ को उसके रखवाले द्वारा किसी प्रोजेक्ट में डाला जाता है, तो एक सफल ऑडिट को सहेजें, संभावना है कि कोड उबंटू उपयोगकर्ताओं की मशीनों पर समाप्त हो जाएगा।
सुरक्षा ऑडिट दूसरा चरण है। यह कोड की जांच कर रहा है और खराब चीजों का पता लगाने के लिए इसे मॉनिटर के खिलाफ चला रहा है। जहां तक मुझे पता है, सुरक्षा के लिए समर्पित एक आधिकारिक कैननिकल टीम नहीं है, लेकिन दो सामुदायिक टीमें हैं (उबंटू सुरक्षा और मोटू स्वाट) जो उनके बीच सभी पैकेजों को संभालती हैं।
ऑडिटिंग केवल वास्तव में काम करता है अगर उपयोगकर्ताओं को बाहर जाने से पहले कोड की हर पंक्ति को ठीक से जांचा जाए। यह वास्तव में कोड और अद्यतनों की संख्या के बारे में व्यावहारिक नहीं है, जिनके बारे में हम बात कर रहे हैं। यह इस तरह से करने के लिए भारी मात्रा में समय और पैसा लगेगा।
खुले स्रोत की दुनिया में एक धारणा है कि सिर्फ इसलिए कि कोई व्यक्ति स्रोत को देख सकता है , उनके पास है। यह बनाए रखने के लिए एक बहुत ही खतरनाक लोकाचार है।
छेद को खोजने और खुलासा करने वाले लोगों के लिए सुरक्षा सुधार काफी हद तक प्रतिक्रियावादी हैं। अगर कोई छेद ढूंढता है तो क्या होता है?
अन्य "एंड यूजर्स" रिपोर्टिंग समस्याएं अंतिम वास्तविक पहचान तंत्र है और चलो ईमानदार रहें, अच्छा मैलवेयर उपयोगकर्ता को यह पता नहीं चलने देगा कि कोई फर्क करने में बहुत देर हो चुकी है। अच्छी तरह से लिखा मैलवेयर आपकी स्क्रीन को फ्लिप करने या आपके सभी बैंडविड्थ को चुराने वाला नहीं है, यह पृष्ठभूमि में वहां बैठने जा रहा है, आपके सभी बैंकिंग विवरणों को लॉग इन करने से पहले यह सभी को किसी गुमनाम डंप में कहीं पोस्ट करता है।
पूरी प्रक्रिया अपने स्वयं के सुरक्षा स्तरों को बनाए रखने के लिए अपस्ट्रीम परियोजनाओं पर निर्भर करती है। अगर किसी ने गनोम कैलकुलेटर के अनुरक्षक के पीछे कुछ फिसल गया, तो संभावना है कि यह रेखा के नीचे हर किसी के द्वारा छूटेगी। एक सुरक्षा दल कभी भी इस पर संदेह नहीं करेगा।
शुक्र है कि अधिकांश अनुरक्षक अच्छे हैं कि वे क्या करते हैं। वे अपने कोडबेस को जानते हैं और अगर वे पैच नहीं समझते हैं, तो वे उन्हें इस आधार पर अस्वीकार कर देंगे कि वे पर्याप्त स्पष्ट नहीं हैं।
जोखिम मूल्यांकन के संदर्भ में, किसी ऐसी चीज का उपयोग करके, जो बहुत कम लोकप्रिय है, कोड की जांच करने की संभावना कम आँखें हैं। लेकिन इसी तरह शायद कुछ कम होते हैं, इसलिए जब तक अनुचर आलसी (या बुरा) नहीं होता, तब तक उनके पास प्रत्येक वचन से निपटने के लिए अधिक समय हो सकता है। यह कहना मुश्किल है कि आप कितने जोखिम में हैं। ओपन सोर्स सॉफ्टवेयर की सुरक्षा कोड को देखने में सक्षम लोगों पर निर्भर करती है।
इसके विपरीत, बंद स्रोत आइटम (साझेदार और खरीद भंडार में) समुदाय द्वारा पूरी तरह से अनधिकृत हैं। Canonical में कुछ स्रोत उपयोग हो सकते हैं, लेकिन स्पष्ट रूप से मुझे संदेह है कि उनके पास स्रोत को एक्सेस करने और चाहने पर भी चीजों को पूरी तरह से ऑडिट देने के लिए संसाधन हैं।
इसी तरह PPA के साथ, आपको तब तक बहुत कम सुरक्षा मिलती है जब तक आप स्वयं स्रोत में गोता नहीं लगाना चाहते। उपयोगकर्ता स्रोत कोड को जो कुछ भी पसंद करते हैं उसे जोड़ सकते हैं और जब तक आप इसे स्वयं नहीं देख सकते हैं (और आप मैलवेयर का पता लगाने में सक्षम हैं), आप भेड़ियों से घिरे हैं। लोग खराब पीपीए की सूचना दे सकते हैं, लेकिन कुछ हो रहा है जो अन्य लोगों पर निर्भर करता है कि वे समस्या की जाँच और पुष्टि करें। यदि एक बड़ी साइट (उदाहरण के लिए OMGUbuntu) ने पीपीए की सिफारिश की (जैसा कि वे अक्सर करते हैं), बहुत से उपयोगकर्ताओं के पास लाइन के मुद्दे हो सकते हैं।
समस्या को कम करने के लिए, लिनक्स उपयोगकर्ता के निचले बाजार में हिस्सेदारी का मतलब है कि हमारे पास कम कोड उपलब्ध है जो खराब कोड का शिकार करते हैं। मुझे यह कहने से नफरत है लेकिन कम से कम विंडोज के साथ, आपके पास हर काम करने में दर्जनों कंपनियां खर्च करती हैं, यह पता लगाना कि सॉफ्टवेयर कितना खराब काम करता है, इसका पता कैसे लगाया जाए और इसे कैसे हटाया जाए। यह एक ऐसा बाजार था जो आवश्यकता से पैदा हुआ था और जबकि मुझे यह कहने से भी नफरत है, शायद चीजें बेहतर होने से पहले यहां खराब होने जा रही हैं।
सुरक्षा व्यामोह के लिए, मैंने कुछ समय पहले एक छोटा लेख लिखा था: लिनक्स अजेय नहीं है। यह मत कहो। । रिपॉजिटरी में छींकने वाली चीजें शायद मैलवेयर वितरित करने वाले गधों के लिए प्राथमिक हमला वेक्टर नहीं हैं। यह बहुत अधिक संभावना है (IMO) कि वे उपयोगकर्ताओं के लालच और मूर्खता पर खेलेंगे ताकि उन्हें फील्डर स्थापित करने में मदद मिल सके।