¿Qué tan seguro es el repositorio del universo? -- apt campo con security campo con repository camp askubuntu Relacionados El problema

How Secure is the Universe Repository?


0
vote

problema

Español

Me pregunto acerca de la seguridad de descargar las cosas del universo. La página de ayuda de Ubuntu parece decir que la comunidad puede hacer actualizaciones a piezas de software en ese repo . ¿Eso significa que alguien puede hacer cambios, o que los mantenedores del software original puedan realizar cambios?

Por ejemplo, hay una instancia de la discordia mantenida en universo, ¡así que alguien puede editar esa instancia, o solo los desarrolladores de la discordia? ¿O malinterpreto el asunto todo?

Original en ingles

I'm wondering about the security of downloading things from Universe. The Ubuntu help page seems to say that the community can make updates to pieces of software in that repo. Does that mean that just anybody can make changes, or that the maintainers of the original software can make changes?

For example, there's an instance of Discord maintained in Universe, so can just anybody edit that instance, or only the Discord developers? Or do I misunderstand the whole thing?

        
     
     

Lista de respuestas

3
 
vote
vote
La mejor respuesta
 

El repositorio es tan seguro como 'principal' o cualquiera de los otros tres repositorios.

Los privilegios de carga son difíciles de lograr (un logro en sí mismos) e incluso si usted es un motu ( maestro del universo , https://wiki.ubuntu.com/motu ) Todavía necesita ir a través de los procedimientos como cualquier otro repositorio de Debian / Ubuntu. Hay un montón de páginas de wiki (por ejemplo, https://wiki.ubuntu.com/ubuntudevelopers más definidos que la página de Wiki que ha vinculado, que también fue una página de la comunidad), y si lo conoce Debian Reglas, es casi lo mismo.

Una gran parte de ella es la reputación, siendo de origen abierto, cualquiera puede ver casi todo lo que se hizo; Incluso discusiones y amplificadores; Las reuniones son en su mayoría públicas y AMP; grabado a través de los registros de IRC. Si alguien se ha demostrado que es digno de lograr MOTU, una carga incorrecta (que no se puede ocultar a diferencia del software de código cerrado) se detectará muy rápidamente (aunque debería haber sido detectado en su revisión antes de ese momento) y AMP; Todo el trabajo realizado a lo largo de los años para lograr Motu se ha ido, los privilegios se han ido y amperios; Reputación de tatuajes. Personas confiadas y amp; Lo suficientemente respetado como para haber logrado el estado de Motu no quiere destruir todo su trabajo / reputación.

En un podcast, se les preguntó a tres desarrolladores sobre la creación de una broma de los tontos de abril que era solo un mensaje durante unas pocas horas (Debian-Ubuntu / Solus / Elementary) y Martin Wimpress (Ubuntu-Mate / Debian) hablaba claramente sobre esto ( Mi último párrafo es una redacción de algunos de lo que Martin dijo hace 1-3 años en ese podcast ). Los tres hablaban de su reputación y por qué ninguno podía imaginar a ningún desarrollador habiendo demostrado y AMP; Gané esos derechos, lo destruiría indebidamente.

Si no confías, todas las cargas son muy públicas, y puedes inspeccionarlas muy claramente. Como también estoy en las habitaciones de IRC, puedo ver varias discusiones sobre las cargas antes de que suceda la carga, por lo que se puede ver en tiempo real.

Sí, implica confianza, y confío en los desarrolladores de motu, mucho más que los desarrolladores de origen cerrado que pueden ocultar por la naturaleza que nunca podemos ver qué hacen, nunca debe evaluar realmente cuánto rellenan, etc.

 

The repository is as secure as 'main' or any of the other three repositories.

Upload privileges are difficult to achieve (an accomplishment in themselves), and even if you are a MOTU (master of the universe, https://wiki.ubuntu.com/MOTU) you still need to go thru procedures just like any other debian/ubuntu repository. There are loads of wiki pages (eg. https://wiki.ubuntu.com/UbuntuDevelopers more defined than the wiki page you linked which was a community page too), and if you know debian rules, it's pretty much the same.

A big part of it is reputation, being open-source anyone can view almost everything that was done; even discussions & meetings are mostly public & recorded via IRC logs. If someone has proved themselves to be worthy to achieve MOTU, one wrong upload (which cannot be hidden unlike closed-source software) will very quickly be detected (though should have been detected in review before then) & all work done over years to achieve MOTU is gone, privileges gone & reputation in tatters. People trusted & respected enough to have achieved MOTU status don't want to destroy all their work/reputation.

In a podcast, three devs were asked about creating a April Fools joke that was only a message for a few hours (debian-ubuntu/solus/elementary) and Martin Wimpress (Ubuntu-MATE/debian) spoke clearly about this (my last paragraph is a reword of some of what Martin said 1-3 years ago on that podcast). All three spoke of their reputation and why none could imagine any developer having proved & gained those rights, would destroy it by misusing it.

If you don't trust it, all uploads are very public, and you can inspect them very clearly. As I'm also in IRC rooms, I get to see various discussions about uploads before the upload actually happens, so it can be seen in real-time.

Yes it involves trust, and I do trust MOTU's, far more than closed-source developers who can hide by nature that we never get to see what they do, never get to really evaluate how much they stuff up etc.

 
 

Relacionados problema

25  ¿Son las listas de repositorios seguras? ¿Hay una versión HTTPS?  ( Are repository lists secure is there an https version ) 
¿Son seguros las actualizaciones del repositorio? Como un oso de poco cerebro del lado del desarrollador, no puedo entender por qué la lista del repositorio...

1  ¿Cómo solucionar el error de GPG / BADSIG mientras ejecuta APT-Get Update? [duplicar]  ( How to fix gpg error badsig while running apt get update ) 
Esta pregunta ya tiene respuestas aquí : Cerrado hace 9 años . posible duplicado: ¿Cuál es...

213  ¿Cómo puedo obtener apto para usar un espejo cerca de mí, o elegir un espejo más rápido?  ( How can i get apt to use a mirror close to me or choose a faster mirror ) 
Descarga del Archivo principal de Ubuntu es lento incluso cuando no es día de lanzamiento, ¿cómo puedo obtener apt-get, para usar automáticamente un espejo qu...

4  ¿Cómo configurar Apt para acceder a un repositorio de DEB sobre SSH?  ( How to configure apt to access a deb repository over ssh ) 
Tengo un repositorio de DEB accesible con SSH (siguiendo las instrucciones de este sitio ). Utilizo la autenticación basada en la clave pública SSH para acce...

2  Error agregando un repositorio a /etc/apt/sources.list  ( Error adding a repository to etc apt sources list ) 
en Ubuntu 14.04, seguí http: //mirror.its. dal.ca/cran/bin/linux/ubuntu/README que dice ABCDEFGHIJKLMNABCDEFGHIJKLMN8 así en https://launchpad.net/ub...

158  ¿Cómo restaño los repositorios predeterminados?  ( How do i restore the default repositories ) 
Ahora hay errores al actualizar y no puedo instalar la mayoría de los software debido a un corrupto /etc/apt/sources.list archivo. ¿Hay una copia que p...

5  Fuentes específicas del país. ¿Archivo de la lista?  ( Country specific sources list file ) 
Estaba tratando de configurar el repositorio local, así que hice algunas entradas que comentan y algunas de ellas eliminadas. Ahora no quiero crear un reposit...

11  Límite apt repo a un cierto arco?  ( Limit apt repo to a certain arch ) 
Tengo varios repositorios que no tienen binarios ARBHF (para el compilador cruzado RPI), por lo que ABCDEFGHIJKLMNABCDEFGHIJKLMN0 siempre me da una tonelada...

2  Paquete más nuevo del repositorio de otra versión de Ubuntu [Duplicar]  ( Newer package from repository of other ubuntu version ) 
Esta pregunta ya tiene una respuesta aquí : Paquetes de instalación de la versión más reciente sin e...

5  ¿Es el universo revisado por el equipo de seguridad de Ubuntu?  ( Is universe checked by the ubuntu security team ) 
Tengo una pregunta general con respecto al repositorio del Universo de Ubuntu. ¿Alguien sabe si está revisado por el equipo de seguridad de Ubuntu? ¿Moverán o...




© 2022 respuesta.top Reservados todos los derechos. Centro de preguntas y respuestas reservados todos los derechos