উবুন্টু সফটওয়্যার সেন্টারের স্পাইওয়্যারগুলিতে প্রোগ্রামগুলি কি নিখরচায়?

35

উবুন্টু সফটওয়্যার সেন্টারে প্রোগ্রামগুলির জন্য বিভিন্ন বিভাগ রয়েছে

  • উবুন্টু সরবরাহ করেছেন
  • ক্যানোনিকাল পার্টনারস
  • কেনার জন্য

আমি জানি এগুলি সমস্ত ওপেন সোর্স; তবে ক্যানোনিকাল দ্বারা কোনও স্পাইওয়্যার বা ম্যালওয়্যার মুক্ত থাকার বিষয়টি নিশ্চিত করার জন্য কি কোনও বৈধতা প্রক্রিয়া করা হয়েছে ?

আমি অবাক হই যে কেউ এই সমস্ত (2355 টি প্রোগ্রাম বা এখন পর্যন্ত), সফ্টওয়্যার কোডটিও প্রতিটি রিলিজের জন্য দেখার জন্য সময় পাবে !!

আমি চিন্তিত কারণ আমি নিয়মিত সফটওয়্যার কেন্দ্র থেকে অপ্রিয় জনপ্রিয় সফ্টওয়্যার ইনস্টল করি :)

software-installation  software-center 
AIB
সূত্র
1
"ক্রয়ের জন্য" সফ্টওয়্যার ওপেন সোর্স নয়, অন্যথায় লোকেরা এটি কেনার দরকার নেই। পার্টনার সফ্টওয়্যার সর্বদা ওপেন সোর্স নয়, স্কাইপ খোলা থাকে না যেমন
মার্টিন ইউডিং
8
@ কুইওভারফ্লো ওপেন সোর্স সফ্টওয়্যারটির জন্য চার্জ করা সম্ভব।
ডিভি 3500ea
3
@ কুইওভারফ্লো: কিটিপ্লট একটি উদাহরণ হবে, বাইনারি এবং সহায়তা চুক্তির জন্য চার্জ, আপনাকে নিখরচায় সংকলন করতে স্বাগত। :-)
ক্রিস্টোফ
2
ভাল আমি মনে করি না বর্তমানে ক্রয় বিভাগে কোনও ওপেন সোর্স সফ্টওয়্যার রয়েছে তবে ভবিষ্যতেও থাকতে পারে।
ডিভি 3500ea
1
@ ক্রিসটফ: আমি ধরে নিয়েছি বেশিরভাগ লোকেরা কীভাবে এটি সংকলন করতে জানেন না, সুতরাং এটি এটির মতো পরিচালনা করা বোধগম্য।
মার্টিন উয়েডিং

উত্তর:

27

কোনও ম্যালওয়ার নেই তা নিশ্চিত করার জন্য কি কোনও প্রক্রিয়া রয়েছে? না কোন গ্যারান্টি আছে।

এটি চেষ্টা ও সনাক্ত করার জন্য বেশ কয়েকটি ব্যবস্থা রয়েছে তবে আমি খুব বেশি আছড়ে পড়তে চাই না, যদি আমরা সত্যবাদী হয়ে থাকি তবে আপনি সম্ভবত নিজের মতো নিরাপদ নন।

  1. একটি প্রকল্প প্রথমে উবুন্টুতে যুক্ত হতে হবে। রিনজুইন্ড যেমন বলেছিলেন, এই পর্যায়ে চেক তৈরি করা হয় তবে এটি হ'ল আইসবার্গের মূল অংশ যা উবুন্টুর একটি প্যাকেজের জীবন।

  2. দীর্ঘমেয়াদী প্যাকেজগুলির জন্য প্রথম আসল প্রতিরক্ষা হ'ল তাদের প্রকল্প রক্ষণাবেক্ষণকারী। এই ব্যক্তিরা তাদের প্রকল্পগুলি দেখাশোনা করে এবং তাদের উন্নতির জন্য প্যাচগুলি গ্রহণ করে। তারা মানুষ। তারা ভুল করে এবং জিনিস মিস করে। এবং কিছু অলস হতে পারে।

    সম্ভবত কোনও খারাপ ব্যক্তি ম্যালওয়ারের সাথে খাঁটি উন্নতি অন্তর্ভুক্ত করে তাদের অতীতের কিছু ম্যালওয়ার ছিনিয়ে নিতে পারে।

    যদি কোনও খারাপ প্রকল্পের পরিচালকরা কোনও প্রকল্পে ভর্তি হন তবে একটি সফল অডিট সংরক্ষণ করুন, উবুন্টু ব্যবহারকারীদের মেশিনে কোডটি শেষ হয়ে যাওয়ার সম্ভাবনা রয়েছে।

  3. সুরক্ষা অডিট দ্বিতীয় ধাপ। এটি কোডটি পরীক্ষা করছে এবং খারাপ জিনিসগুলি সনাক্ত করতে মনিটরের বিরুদ্ধে এটি চালাচ্ছে। আমি যতদূর জানি, সুরক্ষার জন্য নিবেদিত কোনও অফিসিয়াল ক্যানোনিকাল টিম নেই তবে দুটি সম্প্রদায় টিম (উবুন্টু সিকিউরিটি এবং মটো সুইট) রয়েছে যা তাদের মধ্যে থাকা সমস্ত প্যাকেজ পরিচালনা করে।

    কোডগুলির প্রতিটি লাইন ব্যবহারকারীদের বাইরে যাওয়ার আগে যদি সঠিকভাবে পরীক্ষা করা হয় তবে নিরীক্ষণটি সত্যই কাজ করে। কোডের পরিমাণ এবং আমরা যে আপডেটের কথা বলছি তার জন্য এটি আসলে ব্যবহারিক নয়। এইভাবে এটি করতে প্রচুর সময় এবং অর্থ লাগবে।

    ওপেন সোর্স ওয়ার্ল্ডে এমন একটি ধারণা রয়েছে যে কেবল কেউ কেউ উত্সটি দেখতে পারে বলে তাদের কাছে। এটি বজায় রাখা খুব বিপজ্জনক নীতি eth

    সুরক্ষা সংশোধনগুলি গর্তগুলি খুঁজে বের করার এবং প্রকাশ করার জন্য লোকেরা বেশিরভাগ ক্ষেত্রে প্রতিক্রিয়াশীল। কেউ যদি তাদের একটি গর্ত প্রকাশ করে তবে কী হবে?

  4. অন্যান্য "শেষ ব্যবহারকারী" সমস্যার প্রতিবেদন হ'ল চূড়ান্ত আসল সনাক্তকরণ ব্যবস্থা এবং আসুন সত্য কথা বলা যাক, ভাল ম্যালওয়্যার ব্যবহারকারীকে কোনও সমস্যা দেখাতে দেবে না যতক্ষণ না পার্থক্য তৈরি হতে খুব বেশি দেরি হয়। ভাল লিখিত ম্যালওয়্যার আপনার পর্দা ফ্লিপ করতে বা আপনার সমস্ত ব্যান্ডউইথ চুরি করতে যাচ্ছে না, এটি ব্যাকগ্রাউন্ডে বসতে চলেছে, আপনার সমস্ত ব্যাঙ্কিংয়ের তথ্য লগইন করার আগে এটি সমস্ত বেনামে ডাম্পে পোস্ট করে দেয়।

পুরো প্রক্রিয়াটি তাদের নিজস্ব সুরক্ষা স্তর বজায় রাখতে প্রবাহ প্রকল্পগুলির উপর নির্ভর করে। যদি কেউ জিনোম ক্যালকুলেটরটির রক্ষণাবেক্ষণকারীর পিছনে কিছু পিছলে যায় তবে সম্ভাবনা হ'ল এটি প্রত্যেকেই লাইনের নিচে থেকে যায়। কোনও সুরক্ষা-দল এটি কখনও সন্দেহও করবে না।

ধন্যবাদ, বেশিরভাগ রক্ষণাবেক্ষণকারীরা তারা যা করেন তাতে ভাল। তারা তাদের কোডবেস জানে এবং যদি তারা প্যাচগুলি বুঝতে না পারে তবে তারা পর্যাপ্ত পরিস্কার নয় এমন ভিত্তিতে এগুলি তাদের প্রত্যাখ্যান করবে।

ঝুঁকি মূল্যায়নের শর্তে, খুব কম জনপ্রিয় এমন কোনও কিছু ব্যবহার করে, কোডটি পরীক্ষা করার সম্ভাবনা কম রয়েছে। তবে একইভাবে কমিটস কমিটস সম্ভবত রয়েছে, সুতরাং যতক্ষণ না রক্ষণাবেক্ষণকারী অলস (বা মন্দ) না হন ততক্ষণ তাদের প্রতিটি প্রতিশ্রুতি মোকাবেলায় আরও সময় থাকতে পারে। আপনি ঠিক কতটা ঝুঁকিতে রয়েছেন তা বলা শক্ত। ওপেন সোর্স সফ্টওয়্যারটির সুরক্ষা কোডটি দেখার জন্য সক্ষম লোকের উপর নির্ভর করে।

বিপরীতভাবে বদ্ধ উত্স আইটেমগুলি (অংশীদার এবং ক্রয়ের ভাণ্ডারে) সম্প্রদায় সম্পূর্ণরূপে অশিক্ষিত। ক্যানোনিকাল কিছু উত্স অ্যাক্সেস থাকতে পারে, কিন্তু সত্যই আমি সন্দেহ করি যে তাদের কাছে উত্স অ্যাক্সেস ছিল এবং চাইলে এমনকি তাদের বিষয়গুলি পুঙ্খানুপুঙ্খ নিরীক্ষণ দেওয়ার মতো সংস্থান রয়েছে।

একইভাবে পিপিএগুলির সাথে, আপনি নিজেই উত্সটিতে ডুব না দিতে চাইলে আপনি খুব সামান্য সুরক্ষা পান। ব্যবহারকারীরা সোর্স কোডে তাদের যা খুশি যুক্ত করতে পারে এবং আপনি নিজেরাই এটি পরীক্ষা করে না নিলে (এবং আপনি ম্যালওয়্যার সনাক্ত করতে সক্ষম), আপনি নেকড়ের চারপাশে থাকা একটি মেষ। লোকেরা খারাপ পিপিএ রিপোর্ট করতে পারে তবে কিছু ঘটছে তা অন্যান্য লোকেরা সমস্যাটি যাচাই করা ও নিশ্চিত করার উপর নির্ভর করে। যদি কোনও বড় সাইট (যেমন ওএমজিউবুন্টু) পিপিএর প্রস্তাব দেয় (যেমন তারা প্রায়শই করে থাকে), প্রচুর ব্যবহারকারীর লাইনে সমস্যা হতে পারে।

সমস্যাটি আরও বাড়ানোর জন্য, লিনাক্স ব্যবহারকারীর কম শেয়ারের অর্থ ব্যাড কোডের খোঁজ করার জন্য আমাদের জন্য কম সফ্টওয়্যার উপলব্ধ। আমি এটি বলতে ঘৃণা করি তবে কমপক্ষে উইন্ডোজের সাথে আপনার কয়েক ডজন সংস্থা প্রতি কার্যদিবসে ব্যয় করে, কীভাবে খারাপ সফ্টওয়্যার কাজ করে, কীভাবে এটি সনাক্ত করতে হয় এবং কীভাবে এটি অপসারণ করা যায় তা সন্ধান করে। এটি প্রয়োজনীয়তা থেকে জন্মগ্রহণ করা একটি বাজার ছিল এবং আমি এটিও বলার ঘৃণা করি না কেন, জিনিসগুলি আরও ভাল হওয়ার আগে সম্ভবত এখানে পরিস্থিতি আরও খারাপ হতে চলেছে।

সুরক্ষা প্যারানয়েডগুলির জন্য, আমি কিছুক্ষণ আগে একটি ছোট্ট নিবন্ধ লিখেছিলাম: লিনাক্স অদম্য নয়। এটা বলবেন না। । সংগ্রহস্থলের মধ্যে জিনিস স্নিগ্ধ করা সম্ভবত ম্যাসওয়্যার বিতরণকারী অ্যাসাটগুলির জন্য প্রাথমিক আক্রমণকারী ভেক্টর হতে পারে না। এটি অনেক বেশি সম্ভাবনা (আইএমও) রয়েছে যে তারা সংক্রামিত .debs ইনস্টল করতে ব্যবহারকারীদের লোভ এবং বোকামির সাথে খেলবে।

অলি
সূত্র
3
পরীক্ষিত সংগ্রহস্থলগুলির সম্পর্কে ভাল কথাটি হ'ল এগুলি সাধারণত কোনও রেপোজিটরি মডেলটিতে সফ্টওয়্যার ইনস্টল করার চেয়ে কোনও প্রকারের থেকে কিছু ইনস্টল করার মতো সুরক্ষার মাত্রা more সুতরাং, হ্যাঁ, আপনি কখনই নিরাপদ নন। তবে সাধারণত আপনি সম্ভবত নিরাপদ
Kzqai
আপনার লেখার অর্থ কি কেউ যদি তাদের কোনও গর্ত প্রকাশ করে তবে কী হবে ?
tspang
25

হ্যাঁ। প্যাকেজগুলি সম্প্রদায় দ্বারা পরীক্ষা করা হয় (সুতরাং 1 কিছু ম্যালওয়্যার ইনস্টল করতে পারে তবে সেই সংবাদটি সমস্ত ব্যবহারকারীর মধ্যে দ্রুত ছড়িয়ে যাবে)।

অ্যাপ্লিকেশনগুলিকে লাইসেন্সিংয়ে বর্ণিত খুব কড়া নিয়ম মেনে চলতে হবে ।

নতুন প্যাকেজগুলির উইকি পৃষ্ঠায় কিছুটা আরও তথ্য রয়েছে:

মোটু দিয়ে যাচ্ছি

যে প্যাকেজগুলি এখনও উবুন্টুতে নেই, তাদের অতিরিক্ত তদন্তের প্রয়োজন হয় এবং সংরক্ষণাগার প্রশাসকদের দ্বারা চূড়ান্ত পর্যালোচনা পাওয়ার আগে তারা আপলোড করার আগে এবং একটি বিশেষ পর্যালোচনা প্রক্রিয়া চালিয়ে যান । প্রয়োগ করা হবে এমন মানদণ্ড সহ পর্যালোচনা প্রক্রিয়া সম্পর্কিত আরও তথ্য কোড রিভিউয়ার্স পৃষ্ঠায় পাওয়া যাবে । বিকাশকারীদের পর্যালোচনার জন্য জমা দেওয়ার আগে এই নির্দেশিকাগুলি ব্যবহার করে তাদের নিজস্ব প্যাকেজগুলি পরীক্ষা করতে উত্সাহিত করা হয়।

উচ্চমানের বাগের প্রতিবেদনগুলি পেতে আপনার প্যাকেজটির জন্য একটি অ্যাপপোর্ট হুক লিখুন ।

যে বলেছেন: সাধারণ ধারণা হয়। যদি সন্দেহজনক কিছু পাওয়া যায় তবে আপনি এটি লঞ্চপ্যাড, অ্যাসুবুন্টু, উবুন্টুফোর্মগুলিতে রিপোর্ট করেছেন এবং কেউ এটি গ্রহণ করবে।

যা হতে পারে তা হ'ল ম্যালওয়ারের স্রষ্টা একটি বৈধ প্যাকেজ তৈরি করে, তা গ্রহণ করে এবং তারপরে একটি আপডেট করে যা ম্যালওয়্যার যুক্ত করে। অনেকের মধ্যে কমপক্ষে একজন সর্বদা এটি ধরেন এবং সে কোথাও এটি রিপোর্ট করবেন। এটি এভাবে প্রচুর মেশিনে উঠছে না। (এটি আমাদের মেশিনে পৌঁছানোর প্রচেষ্টা সম্ভাব্য পুরষ্কারের জন্য খুব বেশি: উইন্ডোজ মেশিনগুলিকে টার্গেট করা অনেক সহজ)।

ভোবাবিদের সাথে ভয়ানকভাবে ভুল হওয়ার উদাহরণ । কেউ একটি স্থান মিস করেছেন এবং / usr মুছে ফেলা হয়েছে ... কিছু লোক ক্ষতিগ্রস্থ হয়েছে, 1 লাল পতাকা সহ একটি সতর্কতা পোস্ট করেছে এবং এখন আমরা সবাই জানি। স্রষ্টা এটিকে ঠিক করেন (আলোর গতিবেগ দ্রুত) তবে ক্ষতি বেশ কয়েকটি সিস্টেমে করা হয়েছিল। এবং এটি একটি ভুল ছিল এবং ইচ্ছাকৃত নয় তাই এটি ঘটতে পারে;)

Rinzwind
সূত্র
4
এটি লক্ষ করা উচিত যে উবুন্টু সফ্টওয়্যার সেন্টারে যেমন গেটেডাব বা বিভিন্ন পিপিএর সাথে সংহত হওয়ার সাথে অন্যান্য উত্সগুলির সাথে কিছু ঝুঁকি রয়েছে। তবে আপনি যদি এগুলি ব্যবহার না করেন তবে আপনার নিরাপদ থাকা উচিত।
jnv
@ জেএনভি শুভ কল :) আমি প্রথম লাইনটি পরিবর্তন করেছি এবং এটিতে এখন প্যাপসও অন্তর্ভুক্ত রয়েছে;)
রিনজউইন্ড
আপনার উদাহরণটি অবৈধ। ভাঁড়ির দোকানগুলি উপস্থিত নেই।
লিঙ্কটি
আমি একমত না ইনস্টল হওয়া যে কোনও কিছুই সমানভাবে মূল্যায়ন করা হয়: ব্যবহারকারীরা চেকিং করেন যাতে এটি দুর্ঘটনাক্রমে (!) ভুল হওয়ার কোনও বৈধ উদাহরণ। তাই এটি উদ্দেশ্য করে করাও সম্ভব তবে ব্যবহারকারীরা অন্যকে বলছেন যে এর কোনও ত্রুটি রয়েছে। ত্রুটি নিজেই নয়;)
রিনজউইন্ড
প্রশ্নটি ছিল সফটওয়্যার কেন্দ্র সম্পর্কে।
লিঙ্কটি
5

আমি ধরে নিয়েছি যে কেউ আপনাকে এটির আশ্বাস দিতে পারে না। দেবিয়ান প্যাকেজ সূচীতে কোনও প্যাকেজ যুক্ত করার জন্য আপনাকে কী ঘটতে হবে তা পরীক্ষা করে দেখতে হবে, তবে আমি মনে করি যে সেখানে কোনও খারাপ বিষয় স্লিপ করতে সক্ষম হওয়া উচিত।

আপনি একটি ভার্চুয়াল মেশিন সেট আপ করতে পারেন এবং সেখানে সফ্টওয়্যারটি চেষ্টা করতে পারেন, তারপরে আপনি iftopএই অ্যাপ্লিকেশনগুলি ঘরে বসে কথা বলছেন কিনা তা দেখতে নেটওয়ার্ক ট্র্যাফিকের দিকে নজর দিতে পারেন। সম্ভাবনা হ'ল আপনি কখনই কিছুই দেখতে পাবেন না কারণ এটি খুব ভালভাবে লুকানো রয়েছে।

ওপেন সোর্স বলতে সুরক্ষা বোঝায় না, কারণ আপনি কোডটি দেখতে পারেন তার অর্থ এই নয় যে কেউ করেছিলেন।

মার্টিন উয়েডিং
সূত্র
2

লঞ্চপ্যাডে পিপিএতে কোড প্রকাশ করার জন্য আপনাকে ওপেনপিজিপি সেট আপ করতে হবে এবং একটি ইমেল ঠিকানার সাথে সংযুক্ত একটি কী তৈরি করতে হবে। একটি প্যাকেজ স্বাক্ষর করতে আপনার স্থানীয় মেশিন এবং পাসওয়ার্ডে ব্যক্তিগত কীগুলির একটি অনুলিপি প্রয়োজন (যা কোথাও সঞ্চিত নয়)। কোনও প্যাকেজের যদি সুরক্ষার সমস্যা থাকে তবে এটি লেখককে ট্র্যাক করতে অপেক্ষাকৃত সহজ হওয়া উচিত। আমি ধরে নিচ্ছি যে উবুন্টু এবং দেবিয়ান-এর মূল ভাণ্ডারগুলি অন্তত সেই সুরক্ষিত।

বেশিরভাগ ওপেন সোর্স প্রকল্পগুলির কমপক্ষে ssh স্তর সুরক্ষা (পাসওয়ার্ড এবং / অথবা পাবলিক / প্রাইভেট কী জুড়ি) সহ একটি কেন্দ্রীয় সংগ্রহস্থল রয়েছে। এখানে অননুমোদিত অ্যাক্সেস পাওয়া পিপিএর চেয়ে কিছুটা সহজ তবে তুচ্ছ নয়। ভার্শনিং সিস্টেমগুলি সাধারণত ব্যবহারকারীকে রেকর্ড করে যা প্রতিটি প্রতিশ্রুতিবদ্ধ করে এবং একটি প্রতিশ্রুতিবদ্ধভাবে কী করে তা নির্ধারণ করা মোটামুটি সহজ করে তোলে।

কেউ সর্বদা কোনও প্যাচে কিছু পিছলে যাওয়ার চেষ্টা করতে পারে তবে এটি একটি ঝুঁকিপূর্ণ প্রস্তাব। বেশিরভাগ কোডার এমন প্যাচ গ্রহণ করবেন না যা সহজেই পড়তে পারে না। যদি আপনি ধরা পান তবে এটি বেশ অনেকখানি।

এখনও বিশ্বাসের জন্য একটি নির্দিষ্ট পরিমাণ বাকী রয়েছে যাতে সম্ভবত কেউ উবুন্টুতে স্পাইওয়্যার পেতে পারে get উবুন্টুর বাজারের অংশটি উল্লেখযোগ্যভাবে বৃদ্ধি পেলে এটি আমাদের চিন্তিত হতে পারে।

user20304
সূত্র
জিপিজি কী যে কেউ তৈরি করতে পারবেন। আমি একটি ভার্চুয়াল মেশিন স্থাপন করতে পারি, একটি জাল নাম সহ একটি কী তৈরি করতে পারি এবং কেউই বুদ্ধিমান হবে না। জিপিজির সত্যতা বিচার করার জন্য আপনাকে বিশ্বাসের ওয়েবটি সন্ধান করতে হবে, এমনকি এটি সাধারণ নয়।
মার্টিন উডিং
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.