바이너리가 패키지 .tar.xz
가 아닌 형식으로 제공되는 오픈 소스 애플리케이션이 있다고 가정해 보겠습니다 . 데비안 SW 저장소에는 데비안 커뮤니티에서 만든 것으로 보이는 .deb
패키지가 있습니다 ..deb
나는 애플리케이션 자체를 신뢰하므로 Debian 저장소에 있는 애플리케이션 버전도 신뢰할 수 있습니까? 데비안 팀은 "보안을 매우 중요하게 생각한다"고 주장합니다. 그러나 실제 상황은 어떠한가? 보안 팀이 제출된 모든 패키지를 검토하고 패키징하기 전에 코드가 변경되지 않았는지 확인할 수 있습니까? 아니면 이벤트가 발생할 때만 반응합니까(예: 저장소에서 패키지 제거)?
(질문을 예상하세요. 이 .deb
패키지를 사용하면 업데이트와 전반적인 유지 관리가 단순해지기 때문에 유익합니다.)
답변1
데비안 보안 팀은 자원 봉사자로 구성된 소규모 그룹이고 아카이브에 67,000개 이상의 패키지가 있기 때문에 업로드하기 전에 모든 패키지를 검토하지 않습니다. 나는 또한 그러한 프로세스를 갖춘 다른 Linux 배포판(또는 다른 주요 프로젝트 또는 게시자)도 알지 못합니다.
그러나 Debian 빌드 데몬은 소스에서 각 패키지를 빌드하므로 소스 패키지를 다운로드하고( 를 사용하여 apt-get source PACKAGENAME
) tarball과 패치가 예상한 것과 같은지 확인할 수 있습니다. 모든 소스 패키지는 아카이브와 마찬가지로 암호화 방식으로 서명되므로 업로드된 소스의 패키지가 수정되지 않았는지 확인할 수 있습니다.
데비안에도 이니셔티브가 있습니다모든 패키지를 재현 가능하게 빌드이렇게 하면 동일한 패키지를 직접 생성하고 변조된 것이 없는지 확인할 수 있습니다. 하나 있다패키지 목록반복적으로 구축할 수 있는 것과 불가능한 것은 무엇입니까?
일반적으로 데비안은 신뢰할 수 있는 바이너리 소스로 널리 알려져 있으며 많은 주요 조직에서 사용하고 있지만 물론 스스로 결정을 내려야 합니다. 모든 바이너리 및 바이너리 패키지를 감사해야 하는 경우에는 이를 직접 관리해야 합니다. 규모에 관계없이 운영 체제 게시자가 해당 서비스를 제공하는지 확신할 수 없기 때문입니다.
답변2
https://wiki.debian.org/DebianMentorsFaq그리고https://warlord0blog.wordpress.com/2018/05/08/repository-not-trusted리포지토리를 유지 관리할 때 관리자에게 주의를 기울이고 잠재적으로 위험한 상황에 대해 경고하는 프로세스를 마련하십시오.
.deb 패키지 사용의 이점에 동의합니다.
답변3
나는 데비안 리포지토리의 보안 관련 측면을 설명하는 두 가지 질문을 했습니다.
- 데비안 패키지는 누가 만드는가?(포장 과정에 대한 좋은 소개)
- "패키지 관리자가 패키지 해시를 확인합니까?"(중복) ->데비안 소프트웨어 패키지의 신뢰성을 어떻게 보장하나요?(여기서 원하는 답을 찾을 수도 있습니다)
반복 가능한 빌드를 위해 실제로 유용하게 사용하려면 무엇이 필요하다고 생각합니까?패키지가 100% 복제되기 전확인하는 편리한 방법입니다.모두설치된 비자유 소프트웨어를 검사하는 도구 외에도 vrms
현재 설치된 패키지의 일부는 재현할 수 없습니다.
"데비안 시스템에 설치된 복사할 수 없는 패키지를 어떻게 나열합니까?"