バイナリが.tar.xz
形式で利用できるが、.deb
パッケージとしては利用できないオープンソースアプリケーションがあるとしましょう。そして、Debianコミュニティによって明らかに構築された.deb
パッケージがDebian SWリポジトリにあります。
アプリケーション自体を信頼しているとすれば、Debianリポジトリのバージョンも信頼できますか? Debianチームは、「セキュリティを非常に真剣に受け止めている」と主張しています。しかし、実際にはどのように見えますか?セキュリティチームが提出されたすべてのパッケージを確認し、パックする前にコードが変更されていないことを確認できますか?または、インシデントに対してのみ反応しますか(リポジトリからパッケージを削除するなど)?
(質問を予測するには:.deb
パッケージを使用すると、更新と全体的なメンテナンスが簡単になるため、有益です).
Debianセキュリティチームは、ボランティアの小さなグループであり、アーカイブに67,000を超えるパッケージがあるため、アップロード前にすべてのパッケージを確認するわけではありません。そのような手順を持つ他のLinuxディストリビューション(または他の主要なプロジェクトやディストリビューター)も知りません。
ただし、Debianビルドデーモンはソースからすべてのパッケージをビルドするため、ソースパッケージをダウンロードできます(apt-get source PACKAGENAME
)そして、tarballとパッチが期待どおりであることを確認します。すべてのソースパッケージはアーカイブと同様に暗号で署名されているため、アップロードされたソースからパッケージが変更されていないことを確認できます。
Debianには、 すべてのパッケージを再現可能にビルドする というイニシアチブもあります。これにより、ビットごとに同一のパッケージを自分で作成し、改ざんされていないことを確認できます。 パッケージのリスト があり、再現可能にビルドする場合としない場合があります。
一般に、Debianは信頼できるバイナリのソースと広く見なされており、多くの主要な組織がそれを使用していますが、もちろん、独自の決定を行う必要があります。監査するすべてのバイナリとバイナリパッケージが本当に必要な場合は、任意のサイズのOSディストリビュータがそのサービスを提供するかどうかは不明なので、自分で管理する必要があります。
https://wiki.debian.org/DebianMentorsFaq および https://warlord0blog.wordpress.com/2018/05/08/repository-not-trusted メンテナを表示リポジトリのメンテナンスに注意を払い、潜在的に危険な状態を警告するプロセスを用意してください。
.debパッケージを使用する利点について同意します。