Quels tests sont effectués pour s’assurer qu’aucun package du dépôt n’a de malware?
Comment s’assurer qu’un utilisateur de confiance ne peut pas compiler un package avec un malware et le placer dans le référentiel de l’univers.
Canonical a buntu Security Team , un groupe rémunéré, qui examine et prend en charge de manière professionnelle les logiciels soumis aux archives Ubuntu, ainsi que la publication de correctifs (également appelés mises à jour de sécurité).
À partir du wiki Ubuntu:
L'équipe de sécurité Ubuntu effectue souvent des audits sur les logiciels avant qu'ils ne soient officiellement pris en charge. Une fois les vulnérabilités détectées, l'équipe de sécurité utilise la divulgation responsable pour informer les autres utilisateurs du problème.
L’équipe de sécurité Ubuntu ne travaille pas uniquement sur les paquets, mais collabore avec d’autres, en particulier l’équipe de sécurité Debian et des outils de suivi des vulnérabilités tels que base de données MITRE CVE , et gère son propre outil de suivi CVE.
La même page wiki indique également qu'ils participent activement au développement d'outils de protection contre les nouvelles vulnérabilités; entre autres, les outils sont AppArmor, CompilerFlags, etc.
En particulier, FAQ de l'équipe de sécurité indique:
Les outils d'installation de logiciels fournis avec Ubuntu, tels que le Centre de logiciel Ubuntu et Update Manager, valident les packages lorsqu'ils sont installés pour s'assurer qu'ils sont sécurisés et qu'ils n'ont pas été manipulés ni mis à jour pendant leur téléchargement. De plus, un grand sous-ensemble de paquets dans les archives est officiellement pris en charge par l'équipe de sécurité Ubuntu et obtient des mises à jour ponctuelles pour les problèmes de sécurité qui peuvent survenir.
Donc, autrement dit, mis par thomasrutter , les paquets sont signés de manière cryptographique pour assurer leur validation.
Les référentiels spécifiques supervisés par l'équipe de sécurité sont également indiqués dans la FAQ:
Tous les packages binaires principaux et restreints sont pris en charge par l’équipe de sécurité Ubuntu pendant la durée de vie d’une version Ubuntu, tandis que les packages binaires dans l’univers et le multivers sont pris en charge par la communauté Ubuntu.
Bien sûr, les logiciels fonctionnent aujourd'hui dans des millions et des millions de lignes de code, dans différentes langues, de sorte que notre modérateur estimé ThomasW. l'a bien noté, l'équipe de sécurité est également composée d'êtres humains, et ils ne peuvent absolument pas garder une trace de tout. Donc, oui, certaines vulnérabilités et bugs peuvent passer, en particulier dans les référentiels univers et multivers, mais il existe des personnes et des mécanismes en place pour garantir que ces vulnérabilités et bugs ne deviennent pas endémiques.