Linux Mintソフトウェアマネージャのソフトウェアは信頼できますか？ [閉鎖]

コメントは安全とは関係がなく、人気投票ではありません。パッケージマネージャは、github、gitlab、sourceforgeなどのアプリケーションソースコードリポジトリによって生成されたパッケージのソースコードを取得します。

Mintには3つの主要なパッケージソースがあります。最初はDebian sidパッケージプールです。ここでは、Ubuntuは次のUbuntuを構築するときに多くのパッケージを入手します。第二に、Ubuntuは独自のパッケージをたくさん作ります。第三に、Mintは独自のパッケージもいくつか作成します。

ランダムにさまざまなソースからプログラム（別名ソフトウェアパッケージ）をインストールするときに混乱する可能性があるのは、Windowsのセキュリティが完全に欠けていることです。ソフトウェアをインストールする人は通常、誰が実行可能ファイルを作成し、誰が配布するのかほとんど知りません。これらの問題は、少数のGNU / Linuxパッケージストアには存在しません。パッケージを作成した人が誰なのか、承認されたパッケージなのか、Debian（公式のDebianパッケージになるのは非常に難しい）、Ubuntu（再び、主なUbuntuパッケージは簡単ではありません）、そして最後にMintはパッケージを制御する方法についてよくわかりません。 Ubuntuとほぼ同じだと思います。

Packagerは、パッケージマネージャのタイプ、apt、pacman、ポートなどに関係なく、すべてほぼ同じです。

パッケージがデプロイメントパッケージテストプロトコル（Debianは私が知っているすべてのディストリビューションの中で最も厳しい）を通過した後、テストとデバッグのためにデプロイメントパッケージプールに送信されます（これはDebian sidパッケージです。プールの目的は次のものを見つけることです。）既存のパッケージバージョンのバグをデバッグして修正します。これは、署名された/セキュリティが削除されたパケットのみがパケットプールに許可されるシステムによって制御され、安全なチャネルを介して行われます。

私が言いたいのは、GUIパッケージマネージャのパッケージのコメント数を信じていますか？私が使用したことがある管理者）連絡先）は、パッケージャ、パッケージ、またはパッケージプールとはまったく関係ありません。これは、実際にセキュリティが何であるかについて基本的な混乱がある可能性があることを意味します。

チェーンを厳密に制御するこのプロセスは、たとえばgithubの場合、ssl / sshがgithubに接続され、プログラムの作成者はセキュリティシステムを介してgithubリポジトリに変更を送信し、githubはソースコードを制御します。パッケージャを配布してインポートします。そのソースコードは同じセキュリティチャネルを使用してパッケージを構築し、展開パッケージプールマネージャに送信します。 Debian では「ftp マスター」です。ここでパッケージハッシュを使用して、送信されたパッケージが正しいことを確認します。ソースパッケージと同じパッケージを作成し、ローカルシステム（コンピュータなど）がインポートされ、パッケージマネージャが使用するプールに移動します。パッケージマネージャはパッケージの署名も確認します（私の考えではそうです。もちろんです）、そしてそれをインストールしてください。

明らかに、ランダムなサードパーティのリポジトリ（UbuntuとそのPPA、またはArch LinuxとAURで一般的です）をインストールすると、その特定の人とそのテクノロジとセキュリティに精通していないため、セキュリティが急落します。機能がありますが、そこでも一般的にランダムなWindowsのダウンロードとインストール.exeファイル、系統、トランスポートチェーン、またはすべての知識を介してAURパッケージ（通常はgitソースから直接生成されます）を取得します。

したがって、ここで懸念されるのは、実際にLinuxを最初に使用し、snap、Flatpak、または基本認証システムに属していない限り、セキュリティと制御システム全体をバイパスする他のパッケージなどのパッケージインストーラをスキップする最良の理由の1つです。既知の信頼できるソースのため、配布用のパッケージプログラムによって作成されたLinuxまたはBSDパッケージよりも、Windows .exeまたはApple .dmgファイルに似ています。

セキュリティが心配な場合は、検証済みのパッケージマネージャがパッケージを作成するディストリビューションで実行されるパッケージマネージャは、Linuxを使用する最大の理由の1つです。人気投票や投票はセキュリティを検証する最悪の方法の一つではないかと思います。

厳密に技術的なレベルでは、これはインストール可能なバイナリ.exeを生成するすべての方法に適用されることに注意してください。 .dmg、.deb、.tczなどの最大のリスクは、リポジトリ自体が破損することです。たとえば、誰かがリポジトリへの書き込みアクセスを取得し、そのような状況が発生したことを誰も気付かずにマルウェアをプロジェクトにプッシュします。これは、すべてのコード（Microsoft / Appleが生成したコードからgithub、gitlabなどのすべてのコードまで）のリスクです。しかし、gitなどのバージョン管理システムを使用すると、これらの変更がコミット履歴に痕跡を残すため、検出して修正できます。ただし、これはバイナリの生成方法とそのバイナリのインストーラ方法とは何の関係もありません。

.exe / .dmgベースのインストーラを使用するWindows / Appleシステムでは、ユーザーは通常、ダウンロードソースが正当であるかどうかわからず、ダウンロードソースを確認する方法や理解がないため、このリスクははるかに高くなります。良いハッシュ値として知られている場合、通常はインストーラをクリックし、ポップアップ「OK」ダイアログをクリックしてWindowsにインストールし、Windowsにインストールしたことを認識せずにトロイの木馬で強化された実行可能ファイルをWindowsにインストールすることもできます。今完全に妥協しました。繰り返しますが、これはWindowsを使用せず、ランダムダウンロードとインストール.exeファイルを使用せず、インストーラに含まれているすべての役に立たず、無駄で安全でない.dllをバイパスする理由です（やはりsnapまたはflatpakと非常に同様）。

Linuxパッケージマネージャがこれらすべてを処理し、一般的な使用のために基本的に提供されているより安全なシステムを想像するのが難しいという事実は、snapまたはflatpakを介して肥大で安全でないBLOBをインストールする傾向が非常に残念です。特に、ユーザーは安全に全く興味がありません。