Woran erkenne ich, ob ein Paket, das über yaourt unter Arch Linux installiert wird, für meinen PC schädlich sein kann? Ich habe im Wiki gelesen, dass ich jede Installation überprüfen soll, die ich mit yourt mache. Aber was genau muss ich überprüfen und wie erkenne ich schädliche Pakete?
arch-linux
security
yaourt
lup3x
quelle
quelle
aur-foo
Paket schädlich ist oder nicht. Gibt es eine allgemeine Regel oder einen Algorithmus? Ich denke nicht. Und das Lesen von PKGBUILD reicht nicht aus - denken Sie, es wird ein schädliches C-Programm installiert. Lesen Sie den vollständigen Quellcode vor der Installation? Ich denke, ich sollte die Kommentare (über Berichte, Warnungen) und die Stimmen überprüfen (wenn es viele, viele Stimmen gibt, scheint es nicht so schlecht zu sein). Ich verwende viele AUR-Pakete und finde die meisten davon gut. Aber ... der Teufel schläft nie :)Antworten:
Sie können nicht wirklich, ohne eine umfassende Prüfung des Codes durchzuführen und ihn "von außen" in Aktion zu beobachten, beispielsweise mithilfe einer virtuellen Maschine. Es gibt keinen kugelsicheren Weg, um schädliche Pakete zu finden, und sicherlich keinen automatisierten Weg, der relativ einfach nicht umgangen werden kann. Einige Dinge, die Sie realistisch tun können, von denen keine Silberkugeln sind:
Schließlich ist die einzige sichere Software keine Software. Sind Sie sicher, dass Sie Software installieren müssen, der Sie nicht vertrauen? Gibt es keine bekannte, vertrauenswürdige Alternative?
quelle
Wie bereits erwähnt, können Sie nicht sicher wissen.
Eine der wichtigsten Heuristiken, die ich persönlich verwende, sind:
Wenn ich versuchen würde, dies manuell zu installieren, würde ich es trotzdem von spotify.com herunterladen, also ist dies in meinen Büchern in Ordnung. Ein kurzer Blick über den Rest des PKGBUILD und es scheint nichts offensichtlich Ungewöhnliches zu tun. Natürlich gibt es Möglichkeiten, hinterhältig zu sein, aber ich denke, das Hauptziel für jeden schädlichen Code auf AUR wären Leute, die yaourt usw. verwenden, die PKGBUILD normalerweise nicht lesen, bevor sie Software installieren, und das Problem nicht erkennen würden, selbst wenn es offensichtlich wäre .
quelle