Angenommen, es gibt eine Open-Source-Anwendung mit Binärdateien, die in .tar.xz verfügbar sind Format, aber nicht als .deb Paket. Und es gibt eine .deb Paket im Debian-SW-Repository, das anscheinend von der Debian-Community erstellt wurde.
Da ich der Anwendung selbst vertraue, kann ich auch ihrer Version im Debian-Repository vertrauen? Das Debian-Team behauptet, dass es „Sicherheit sehr ernst nimmt“. Doch wie sieht es in der Praxis aus? Kann ich sicher sein, dass das Sicherheitsteam alle eingereichten Pakete überprüft und sicherstellt, dass der Code vor dem Verpacken nicht geändert wurde? Oder reagieren sie nur auf einen Vorfall (z. B. Paket aus dem Repo entfernen)?
(Um eine Frage vorwegzunehmen:Es ist vorteilhaft, die .deb zu verwenden Paket, weil es das Update und die allgemeine Wartung vereinfacht).
Akzeptierte Antwort:
Das Debian-Sicherheitsteam überprüft nicht alle Pakete vor dem Hochladen, da es sich um eine kleine Gruppe von Freiwilligen handelt und es über 67.000 Pakete im Archiv gibt. Mir ist auch keine andere Linux-Distribution (oder ein anderes größeres Projekt oder Distributor) bekannt, die ein solches Verfahren hat.
Die Debian-Build-Daemons bauen jedoch jedes Paket aus seiner Quelle, sodass Sie das Quellpaket herunterladen können (mit apt-get source PACKAGENAME ) und vergewissern Sie sich, dass der Tarball und die Patches so sind, wie Sie es erwarten. Alle Quellpakete sind kryptografisch signiert, ebenso wie das Archiv, sodass Sie sicher sein können, dass die Pakete nicht von der hochgeladenen Quelle geändert wurden.
Debian hat auch eine Initiative, alle Pakete reproduzierbar zu bauen, so dass Sie selbst ein Bit für Bit identisches Paket erstellen und überprüfen können, dass nichts manipuliert wurde. Es gibt eine Liste von Paketen, die reproduzierbar und nicht reproduzierbar bauen.
Im Allgemeinen wird Debian weithin als vertrauenswürdige Quelle für Binärdateien angesehen und zahlreiche große Organisationen verwenden es, obwohl Sie natürlich Ihre eigene Entscheidung treffen müssen. Wenn Sie wirklich jede Binärdatei und jedes Binärpaket prüfen lassen müssen, müssen Sie sich darum selbst kümmern, da ich nicht sicher bin, ob irgendein Betriebssystem-Distributor dieser Größe diesen Service anbietet.