V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
fdsfsdfsdf3334
V2EX  ›  问与答

linux 软件仓库里的软件到底安全否?

  •  
  •   fdsfsdfsdf3334 · 2013-12-31 15:59:46 +08:00 · 2627 次点击
    这是一个创建于 3972 天前的主题,其中的信息可能已经有所发展或是发生改变。
    一般的软件仓库 都有上万个软件,这些软件全部都经过人工审核吗?
    我学linux没几天,从我了解的情况看,大家都非常信任仓库里的软件
    直接就开始安装
    就不怕 运气不好,刚好某个软件 某个源码 有后门吗
    6 条回复    1970-01-01 08:00:00 +08:00
    Comphuse
        1
    Comphuse  
       2013-12-31 16:23:44 +08:00   ❤️ 1
    Red Hat Enterprise Linux, SUSE Linux Enterprise Server, Oracle Unbreakable Linux 可以完全信任其官方软件仓库。

    其他的发行版,以 Debian 为例,Debian 基本系统组件和常用软件,因为经过了Experimental, Testing 这两个仓库里漫长的开发测试过程,加上发行之前漫长的 Code Freeze 修 Bug 过程,也很可靠。其他的很少人用但一直有人维护的东西就不知道了。

    对于官方源只能无条件信任吧,牛逼的 Cracker 总是能找到入侵和隐藏的方法。

    EPEL, RPM Fusion, Packman 这种部分维护者本身是发行版开发者的*半*第三方仓库可信任/可靠性读低于发行版官方仓库。

    其他的爱好者个人提供的仓库,可靠性应该不用多说。
    fdsfsdfsdf3334
        2
    fdsfsdfsdf3334  
    OP
       2013-12-31 16:24:50 +08:00
    @Comphuse 多谢指点
    LazyZhu
        3
    LazyZhu  
       2013-12-31 16:28:00 +08:00
    不信任的可以用gentoo,从头到脚编译
    别说你也怀疑源码的安全~
    Comphuse
        4
    Comphuse  
       2013-12-31 16:32:21 +08:00
    RHEL, SLES, Oracle Linux 毕竟是大企业提供的企业发行版,开发周期巨长,开发、测试流程巨严谨,钱巨多,Full time 的人力巨多,面对的风险巨大,所以...

    http://www.debian.org/intro/why_debian
    "Good System Security" 部分其实蛮苍白的。

    http://wiki.gentoo.org/wiki/Project:Auditing
    Gentoo 酌情审核 Portage Tree 里的部分软件。

    其他的没关注过。
    Comphuse
        5
    Comphuse  
       2013-12-31 16:32:48 +08:00
    @LazyZhu
    http://wiki.gentoo.org/wiki/Project:Auditing
    Gentoo 酌情审核 Portage Tree 里的部分软件。
    9hills
        6
    9hills  
       2013-12-31 17:42:03 +08:00
    @ fdsfsdfsdf3334

    流行的Linux发行版源里的所有二进制包都带源码,很难放后门不被发现。而且像fedora这种有编译服务器,开发者只能提交源码进去,编译是统一管理的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2755 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 14:48 · PVG 22:48 · LAX 06:48 · JFK 09:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.