Welche Tests werden durchgeführt, um sicherzustellen, dass keine Pakete in den Repos Malware enthalten?

Wie wird sichergestellt, dass ein vertrauenswürdiger Benutzer ein Paket nicht mit Malware kompilieren und im Universums-Repo ablegen kann?

HINWEIS : Dies wird von einem Mitglied des Ubuntu-Sicherheitsteams in dieser Antwort ausführlicher beantwortet . Meine Antwort unten wurde zwei Jahre vor der verknüpften Antwort geschrieben.

Canonical verfügt über das Ubuntu Security Team , eine kostenpflichtige Gruppe, die professionell an Ubuntu-Archive gesendete Software überprüft und unterstützt sowie Korrekturen (auch bekannt als Sicherheitsupdates) veröffentlicht.

Aus dem Ubuntu-Wiki:

Das Ubuntu-Sicherheitsteam führt häufig Audits für Software durch, bevor diese offiziell unterstützt werden soll. Sobald Sicherheitslücken gefunden wurden, verwendet das Sicherheitsteam eine verantwortungsvolle Offenlegung, um andere über das Problem zu informieren.

Das Ubuntu-Sicherheitsteam arbeitet nicht nur an den Paketen, sondern arbeitet auch mit anderen, insbesondere dem Debian-Sicherheitsteam, und Schwachstellen-Trackern wie der MITRE CVE-Datenbank zusammen und verwaltet einen eigenen CVE-Tracker.

Auf derselben Wiki-Seite wird auch aufgeführt, dass sie aktiv an der Entwicklung von Tools zum Schutz vor neuen Sicherheitslücken beteiligt sind. Die Tools sind unter anderem AppArmor, CompilerFlags usw.

In den häufig gestellten Fragen zum Sicherheitsteam heißt es insbesondere:

Mit Ubuntu gelieferte Softwareinstallationstools wie Ubuntu Software Center und Update Manager überprüfen Pakete bei der Installation, um sicherzustellen, dass sie sicher sind und während des Downloads nicht manipuliert oder trojanisiert wurden. Außerdem wird eine große Teilmenge der Pakete im Archiv vom Ubuntu-Sicherheitsteam offiziell unterstützt und erhält zeitnahe Updates für möglicherweise auftretende Sicherheitsprobleme

Mit anderen Worten, von thomasrutter ausgedrückt , werden die Pakete kryptografisch signiert, um ihre Validierung sicherzustellen.

Die spezifischen Repositorys, die das Sicherheitsteam überwacht, sind ebenfalls in den FAQ aufgeführt:

Alle Binärpakete in Main und Restricted werden vom Ubuntu Security-Team für die Dauer einer Ubuntu-Version unterstützt, während Binärpakete in Universum und Multiversum von der Ubuntu-Community unterstützt werden.

Natürlich läuft Software heutzutage in Millionen und Abermillionen von Codezeilen in verschiedenen Sprachen, so wie unser geschätzter Moderator ThomasW. Richtig bemerkt, sind die Sicherheitsteams auch Menschen, und sie können unmöglich alles im Auge behalten. Ja, einige Schwachstellen und Fehler können auftreten, insbesondere in Universums- und Multiversum-Repositorys. Es sind jedoch Personen und Mechanismen vorhanden, um sicherzustellen, dass diese Schwachstellen und Fehler nicht weit verbreitet sind.