这是一个创建于 3796 天前的主题,其中的信息可能已经有所发展或是发生改变。
一般的软件仓库 都有上万个软件,这些软件全部都经过人工审核吗?
我学linux没几天,从我了解的情况看,大家都非常信任仓库里的软件
直接就开始安装
就不怕 运气不好,刚好某个软件 某个源码 有后门吗
我学linux没几天,从我了解的情况看,大家都非常信任仓库里的软件
直接就开始安装
就不怕 运气不好,刚好某个软件 某个源码 有后门吗
 |
1
Comphuse 2013-12-31 16:23:44 +08:00  1
Red Hat Enterprise Linux, SUSE Linux Enterprise Server, Oracle Unbreakable Linux 可以完全信任其官方软件仓库。
其他的发行版,以 Debian 为例,Debian 基本系统组件和常用软件,因为经过了Experimental, Testing 这两个仓库里漫长的开发测试过程,加上发行之前漫长的 Code Freeze 修 Bug 过程,也很可靠。其他的很少人用但一直有人维护的东西就不知道了。 对于官方源只能无条件信任吧,牛逼的 Cracker 总是能找到入侵和隐藏的方法。 EPEL, RPM Fusion, Packman 这种部分维护者本身是发行版开发者的*半*第三方仓库可信任/可靠性读低于发行版官方仓库。 其他的爱好者个人提供的仓库,可靠性应该不用多说。 |
 |
2
fdsfsdfsdf3334 OP @Comphuse 多谢指点
|
 |
3
LazyZhu 2013-12-31 16:28:00 +08:00
不信任的可以用gentoo,从头到脚编译
别说你也怀疑源码的安全~ |
|
4
Comphuse 2013-12-31 16:32:21 +08:00
RHEL, SLES, Oracle Linux 毕竟是大企业提供的企业发行版,开发周期巨长,开发、测试流程巨严谨,钱巨多,Full time 的人力巨多,面对的风险巨大,所以...
http://www.debian.org/intro/why_debian "Good System Security" 部分其实蛮苍白的。 http://wiki.gentoo.org/wiki/Project:Auditing Gentoo 酌情审核 Portage Tree 里的部分软件。 其他的没关注过。 |
|
5
Comphuse 2013-12-31 16:32:48 +08:00
|
 |
6
9hills 2013-12-31 17:42:03 +08:00
@ fdsfsdfsdf3334
流行的Linux发行版源里的所有二进制包都带源码,很难放后门不被发现。而且像fedora这种有编译服务器,开发者只能提交源码进去,编译是统一管理的。 |
Select Language