Linux Mint 軟體管理器中的軟體是否值得信賴?
Linux Mint 的軟體包在送出給軟體經理之前是否經過任何形式的人工審查?
我之所以問是因為應該多次下載的應用程序(例如不和諧)只有 53 條評論,而像 Rider 之類的應用程序只有 2 條評論。是否有人研究過這些包,並確認它們確實來自正確的來源並且不是木馬?
評論與安全無關,它不是人氣競賽。包維護者從應用程序原始碼儲存庫(如 github、gitlab、sourceforge 等)獲取他們創建的包的原始碼。
Mint 的軟體包有 3 個主要來源,首先是 Debian sid 軟體包池,這是 Ubuntu 在建構下一個 ubuntu 時從中獲取許多軟體包的地方。其次,Ubuntu 製作了許多自己的軟體包。第三,Mint 也創建了一些自己的包。
在從隨機和各種來源安裝程序(即軟體包)時,您可能會混淆 Windows 完全缺乏安全性,安裝軟體的人通常對誰在創建執行檔、誰在分發它等知之甚少. 這些問題在 GNU/Linux 軟體包儲存庫中都不存在,你知道誰創建了這個軟體包,一個被批准的打包者,他們被 Debian 嚴格控制(成為一個官方的 Debian 打包者是相當困難的),Ubuntu(同樣,成為一個主要的 Ubuntu 打包程序並不容易),最後是 Mint,就他們如何控制打包程序而言,我不太了解。我假設或多或少類似於 Ubuntu。
打包器,這與包管理器類型無關,apt、pacman、ports 等等,都大致相同,進入項目主原始碼儲存庫,一般來說,從 repo 中提取的複製,並使用該程式碼來建構他們的包。
這個包,在通過了發行包測試協議(Debian 是我所知道的所有發行版中最嚴格的)之後,然後被發送到發行包池,進行測試和調試(這就是 Debian sid 的包池的用途,查找和使用新引入的現有軟體包版本修復錯誤)。這是由一個系統控制的,該系統只允許簽名/安全允許的包進入包池,並通過安全通道完成。
我想說的是你相信一個包在 gui 包管理器中的評論數量(我假設這是你看到的,因為“評論”本身實際上並不存在於我曾經的任何包管理器中觸及),這與打包程序、包或包池完全沒有關係,絕對為零,這表明您可能對安全性到底是什麼有一些基本的困惑。
這個嚴格控制的鏈的過程,例如在 github 的情況下,ssl/ssh 連接到 github,程序作者通過安全系統送出對 github repos 的更改,github 控制原始碼,然後分發打包程序獲取該原始碼,使用同樣安全的通道,建構包,然後將其送出給分發包池管理器,在 Debian 的情況下是“ftp master”,在那裡進行驗證,包雜湊驗證送出的包與原始包相同包,然後它進入池,它被本地系統抓取,比如你的電腦,並被它的包管理器使用,它也將驗證包的簽名(我相信它確實如此),然後安裝它.
現在,顯然,如果您安裝隨機的 3rd 方儲存庫,例如在帶有 PPA 的 Ubuntu 或帶有 AUR 的 Arch Linux 中很常見,那麼安全性會直線下降,因為您對特定人員及其技術和安全能力的控制要少得多,但即使在一般情況下,我也會通過隨機的 Windows 下載和安裝 .exe 文件獲取 AUR 包(通常直接從 git 源創建),就其血統、傳輸鍊或任何東西而言,你知道它的精確度為零別的。
因此,您在這裡擔心的問題實際上是首先使用 linux 的最佳理由之一,並跳過像 snap、flatpak 或其他盡可能繞過整個安全和控制系統的軟體包安裝程序之類的東西,除非它們也來自主要的經過驗證和已知的可靠來源,這使得它們更類似於 windows .exe 或 apple .dmg 文件,而不是由打包程序為分發創建的 Linux 或 BSD 包。
如果您擔心安全性,則由經過驗證的包維護者創建包的發行版執行包管理器是使用 Linux 的首要原因之一。人氣競賽和投票將是我能想像到的最糟糕的驗證安全性的方法之一。
請記住,在嚴格的技術層面上,這適用於任何創建可安裝二進製文件 .exe 的方法。.dmg、.deb、.tcz 等等,最大的風險是儲存庫本身受到損害,例如,有人獲得了對儲存庫的寫訪問權,然後將惡意程式碼推送到項目中,而沒有人意識到這一點。這是所有程式碼的風險,從 Microsoft/Apple 生成,到 github、gitlab 等上的任何程式碼。但是使用 git 等版本控制系統,可以檢測和糾正這些更改,因為它們會在送出歷史中留下痕跡。但這與二進製文件的創建方式和該二進製文件的安裝程序方法無關。
在 Windows/Apple 系統中,使用基於 .exe/.dmg 的安裝程序,這種風險要高得多,因為使用者通常無法知道下載源是否合法,也沒有辦法或理解這會讓他們根據已知的正確驗證雜湊,通常只需點擊安裝程序,點擊彈出視窗確定在 Windows 中安裝對話框,然後愉快地將木馬增強執行檔安裝到 Windows 中,甚至從未意識到他們這樣做了,或者他們的系統是現在完全妥協了。同樣,不使用 Windows 的原因,不使用隨機下載和安裝 .exe 文件,繞過安裝程序包含的所有過時、過時和不安全的 .dll 文件(再次與 snap 或 flatpak 非常相似)。
Linux 包管理器會為您處理所有這些事情,實際上很難想像一個更安全的開箱即用系統供一般使用,這是導致通過 snap 或 flatpak 安裝的臃腫不安全 blob 的趨勢如此令人不安的一件事,尤其是如果您完全關心安全性。