GNU/Linux >> Tutoriels Linux >  >> Debian

Debian – Sécurité du référentiel Debian ?

Disons qu'il existe une application open source avec des binaires disponibles dans .tar.xz format, mais pas en tant que .deb emballer. Et il y a un .deb package dans le référentiel Debian SW apparemment construit par la communauté Debian.

Étant donné que je fais confiance à l'application elle-même, puis-je également faire confiance à sa version dans le référentiel Debian ? L'équipe Debian affirme qu'elle « prend la sécurité très au sérieux ». Cependant, à quoi cela ressemble-t-il dans la pratique? Puis-je être sûr que l'équipe de sécurité examine tous les packages soumis et vérifie que le code n'a pas été modifié avant d'être emballé ? Ou réagissent-ils uniquement (par exemple, en supprimant le paquet du dépôt) en cas d'incident ?

(Pour anticiper une question :il est avantageux d'utiliser le .deb package, car il simplifie la mise à jour et la maintenance globale).

Réponse acceptée :

L'équipe de sécurité Debian n'examine pas tous les paquets avant le téléchargement car il s'agit d'un petit groupe de volontaires et il y a plus de 67 000 paquets dans l'archive. Je ne connais aucune autre distribution Linux (ou autre projet ou distributeur majeur) qui dispose d'une telle procédure non plus.

Cependant, les démons de construction Debian construisent chaque paquet à partir de sa source, vous pouvez donc télécharger le paquet source (avec apt-get source PACKAGENAME ) et vérifiez que l'archive tar et les correctifs sont conformes à vos attentes. Tous les packages source sont signés de manière cryptographique, tout comme l'archive, de sorte que vous pouvez être sûr que les packages n'ont pas été modifiés à partir de la source qui a été téléchargée.

Debian a également pris l'initiative de construire tous les paquets de manière reproductible afin que vous puissiez produire vous-même un paquet identique bit à bit et vérifier que rien n'a été falsifié. Il existe une liste de packages qui se construisent et ne se construisent pas de manière reproductible.

En général, Debian est largement considérée comme une source fiable de binaires et de nombreuses grandes organisations l'utilisent, bien que vous deviez bien sûr faire votre propre choix. Si vous avez vraiment besoin que chaque paquet binaire et binaire soit audité, vous devrez le gérer vous-même, car je ne suis pas sûr qu'un distributeur de système d'exploitation de quelque taille que ce soit fournisse ce service.


Debian

  1. Installez la dernière version du langage de programmation R sur Debian 11 Bullseye

  2. Debian - Comment connaître le référentiel source d'un paquet dans Debian ?

  3. Debian – Trouver le paquet qui fournit une commande donnée ?

  4. Debian – L'utilisateur « debian-+ » ?

  5. Manière de vérifier si un programme est disponible dans le référentiel par ligne de commande ?

Comment ajouter un référentiel à Debian

Comment ajouter un référentiel à Debian

Cylon-deb :le programme de maintenance de Debian Linux

Comment installer le paquet Debian (.deb)

Copier du texte sur le terminal Debian

Maîtriser la commande Tree sur Debian