どのUbuntuリポジトリが完全に安全であり、マルウェアがありませんか？

13

Android OSに感染しているすべてのマルウェアに関するニュースを読みました。マルウェアはGoogleのApp Storeにあり、人々は知らないうちにダウンロードしてインストールしています。

私が理解しているように、Canonicalのエンジニアはソフトウェアをレビューするので、Ubuntuのメインリポジトリからダウンロードしても安全です（そうすることでマルウェアに感染することはありません）。しかし、他のリポジトリ、特にユニバースリポジトリはどうでしょうか？ユニバースリポジトリは、マルウェアから保護するために何らかのレビューを受けますか？知らないうちにマルウェアをダウンロードすることを恐れて、ユニバースリポジトリを回避することをお勧めしますか？

PPAはレビューされていないため特に危険です。ただし、Google Chrome PPAを使用しても完全に安全であると考えています。

Main＆UniverseリポジトリとGoogle Chrome PPA以外を使用しない場合、知らないうちにマルウェアをダウンロードすることから保護されますか？

UbuntuがMark Shuttleworthが予測するように数億人のユーザーを獲得した場合、UbuntuのPPAはAndroidのGoogle App Storeのようなマルウェア問題になりませんか？

repository

— ニック
ソース

4

あなたはいくつかの質問をするようです。このサイトは、一度に1つの質問でうまく機能します。質問を1つの質問に書き直すか、複数の質問に分割することができます。

— NN

まあ、まずAndroid = / = Ubuntuです。次にPPAを追加する場合は、それを行う理由を知っているので、その内容を知っているので、インストールするものを知っている限りOSは安全です。

— ウリヘレラ

コンピューターをハッキングしたり、害を与えたりしないすべてのパッケージを信頼できます。

— アルヴァ

19

すべての公式のUbuntuリポジトリ（あなたが見つけることができるものarchive.ubuntu.comやそのミラー、その他いくつかを含む）は完全にキュレートされています。この手段main、restricted、universe、multiverse、など-updatesと-security。そこにあるすべてのパッケージはDebianからのものである（したがってDebian開発者によってアップロードされている）か、Ubuntu開発者によってアップロードされている。どちらの場合も、アップロードされるパッケージは、アップローダーのgpg署名によって認証されます。

したがって、公式アーカイブ内のすべてのパッケージがDebian開発者またはUbuntu開発者によってアップロードされたことを信頼できます。さらに、ダウンロードしたパッケージはリポジトリ内のファイルのgpg署名によって検証できるため、ダウンロードした各パッケージがUbuntuまたはDebian開発者によってアップロードされたソースからUbuntuビルドファームでビルドされたことを信頼できます¹。

これにより、あからさまなマルウェアが発生する可能性は低くなります。信頼できる立場にある誰かがそれをアップロードする必要があり、アップロードは簡単に追跡できます。

これにより、より不正な不正行為の問題が残ります。上流の開発者はバックドアを他の便利なソフトウェアに入れることができ、これらはライセンスに応じて、universeまたはmultiverseライセンスに応じてアーカイブに入れることができます。人々はDebianアーカイブのセキュリティ監査を実施しているため、このソフトウェアが普及した場合、バックドアが発見される可能性があります。

パッケージにmainはいくつかの追加チェックがあり、Ubuntuセキュリティチームからより多くの愛を得ることができます。

PPAにはこれがほとんどありません。PPAから得られる保証は、ダウンロードしたパッケージがUbuntuビルドインフラストラクチャでビルドされ、リストされたアップローダーのLaunchpadアカウントのGPGキーの1つにアクセスできる誰かによってアップロードされたことです。アップローダーが本人であるという保証はありません-「Google Chrome PPA」は誰でも作成できます。PPAの信頼性を他の方法で決定する必要があります。

¹：この信頼の連鎖は、Ubuntuインフラストラクチャへの広範囲な侵入によって破られる可能性がありますが、それはどのシステムにも当てはまります。開発者のgpgキーの妥協により、ブラックハットがパッケージをアーカイブにアップロードすることも可能になりますが、アーカイブは各パッケージのアップローダーにメールを送信するため、すぐに気付くはずです。

— RAOF
ソース

ただし、GoogleはGoogle Chromeリポジトリを保持しており、Googleはかなり信頼できる会社です。

— トーマスボックスリー

@ThomasBoxley XD-

— ソロ

@Solo lmao振り返ってみます。

— トーマスボックスリー

8

アップロードされる前のUbuntuリポジトリ内のすべてのパッケージは、MOTU（Masters of the Universe）によってチェックおよびレビューされます。MOTUは、Ubuntuのユニバースおよびマルチバースコンポーネントを形に保つ勇敢な魂です。彼らは、ユニバースにあるソフトウェアを可能な限り追加、維持、サポートすることに時間を費やしているコミュニティメンバーです。したがって、これらのパッケージがコンピューターに侵入してデータを盗む可能性はありません。ただし、これらのパッケージには、ソフトウェアで見つかった欠陥であるセキュリティバグがある場合があります。また、Ubuntuで使用できるセキュリティソフトウェア（キーロガーなど）もありますが、これらのパッケージはデータを盗むことはありません（誰かが意図的にコンピューターにインストールしない限り）。

お役に立てれば。詳細については、Ubuntu wikiページMOTUを参照してください。

— Vibhav Pant
ソース

2

メインリポジトリとユニバースリポジトリを使用することは非常に安全です。PPAが特に人気がある場合（ほとんどの場合）、またはそれらが安全になることを知っている場合（Google Chrome PPAなど）。メイン、ユニバース、およびGoogle Chrome PPAを使用すれば、安全です。

Ubuntuが大量のユーザーを獲得した場合、はい、おそらくより多くのマルウェアがあるでしょう。しかし、本当の問題になるほど十分だとは思わない。

— トーマス・ボックスリー
ソース