linux 软件仓库里的软件到底安全否?

2013-12-31 15:59:46 +08:00
 fdsfsdfsdf3334
一般的软件仓库 都有上万个软件,这些软件全部都经过人工审核吗?
我学linux没几天,从我了解的情况看,大家都非常信任仓库里的软件
直接就开始安装
就不怕 运气不好,刚好某个软件 某个源码 有后门吗
2624 次点击
所在节点    问与答
6 条回复
Comphuse
2013-12-31 16:23:44 +08:00
Red Hat Enterprise Linux, SUSE Linux Enterprise Server, Oracle Unbreakable Linux 可以完全信任其官方软件仓库。

其他的发行版,以 Debian 为例,Debian 基本系统组件和常用软件,因为经过了Experimental, Testing 这两个仓库里漫长的开发测试过程,加上发行之前漫长的 Code Freeze 修 Bug 过程,也很可靠。其他的很少人用但一直有人维护的东西就不知道了。

对于官方源只能无条件信任吧,牛逼的 Cracker 总是能找到入侵和隐藏的方法。

EPEL, RPM Fusion, Packman 这种部分维护者本身是发行版开发者的*半*第三方仓库可信任/可靠性读低于发行版官方仓库。

其他的爱好者个人提供的仓库,可靠性应该不用多说。
fdsfsdfsdf3334
2013-12-31 16:24:50 +08:00
@Comphuse 多谢指点
LazyZhu
2013-12-31 16:28:00 +08:00
不信任的可以用gentoo,从头到脚编译
别说你也怀疑源码的安全~
Comphuse
2013-12-31 16:32:21 +08:00
RHEL, SLES, Oracle Linux 毕竟是大企业提供的企业发行版,开发周期巨长,开发、测试流程巨严谨,钱巨多,Full time 的人力巨多,面对的风险巨大,所以...

http://www.debian.org/intro/why_debian
"Good System Security" 部分其实蛮苍白的。

http://wiki.gentoo.org/wiki/Project:Auditing
Gentoo 酌情审核 Portage Tree 里的部分软件。

其他的没关注过。
Comphuse
2013-12-31 16:32:48 +08:00
@LazyZhu
http://wiki.gentoo.org/wiki/Project:Auditing
Gentoo 酌情审核 Portage Tree 里的部分软件。
9hills
2013-12-31 17:42:03 +08:00
@ fdsfsdfsdf3334

流行的Linux发行版源里的所有二进制包都带源码,很难放后门不被发现。而且像fedora这种有编译服务器,开发者只能提交源码进去,编译是统一管理的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/95185

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX