assicurando che i pacchetti compilati (e firmati) non contengano codice dannoso

Naviga le tue risposte
0

Mi piacerebbe capire in che modo le distribuzioni Linux pacchettizzate (cioè Debian) assicurano che i loro pacchetti non contengano codici maligni. So che i pacchetti sono firmati e che posso scaricare l'origine del pacchetto e compilare il pacchetto da solo. Ma anche quando compilo il pacchetto da solo, il md5sum di quel pacchetto sarà diverso dal pacchetto di distribuzione (anche se il codice sorgente è identico). Lo stesso vale se compilo lo stesso codice due volte (cioè su due macchine diverse), il binario risultante sarà diverso.

Ho capito bene, che l'intera fiducia risiede nel manutentore che compila (e firma) il pacchetto? Che cosa succede se qualcuno malvagio ha corrotto questo mantenitore di contrabbandare in qualche porta di servizio. Come lo rileveremmo?

UPDATE:

Ho provato a compilare mc da debian source con dpkg-buildpackage , ma non riesco a produrre% identicomc binario: 

# apt-get source mc
# cd mc-4.8.3/
# dpkg-buildpackage
# cd ..
# md5sum mc_4.8.3-10_amd64.deb
f373e2a80074098e1ce1672428660dd4  mc_4.8.3-10_amd64.deb
#
# apt-get download mc
# md5sum mc_4.8.3-10_amd64.deb
9e412f6352b2b013a8e15ea88a48b21e  mc_4.8.3-10_amd64.deb
    
posta Martin Vegter 16.02.2014 - 15:33
fonte

1 risposta

1

Se compilate il pacchetto da soli - e usate lo stesso compilatore e le stesse impostazioni - otterrete binari identici ai binari di distribuzione. La teoria è che in una grande comunità come Debian, alcune persone lo fanno periodicamente e rilevano tutte le modifiche introdotte dal manutentore del pacchetto. Il manutentore è in una posizione di grande fiducia e non possiamo davvero evitarlo, ma almeno c'è un po 'di supervisione da parte della più ampia comunità.

Il codice sorgente è aperto per l'ispezione pubblica, quindi la teoria è che alcune persone nella comunità lo esamineranno. Chiunque abbia accesso in scrittura al codice sorgente è di nuovo in una posizione di grande fiducia, ma, ancora una volta, c'è un po 'di supervisione della comunità.

Confronta questo con il software closed source in cui c'è pochissima supervisione. Quando raccogli un DVD di Windows, che confidenza hai che non ci sia una backdoor NSA sul disco?

    
risposta data 16.02.2014 - 15:51
fonte

Leggi altre domande sui tag

Sicurezza dell'Hotspot mobile (4G LTE, WiFi) rispetto a Internet via cavo del complesso residenziale Memorizzazione di informazioni di autorizzazione di terze parti; È sicuro?