Можно ли разместить вредоносное ПО на ресурсе OpenSource?

Question

Давайте представим, что я очень параноидальный мужчина. И я беспокоюсь о своей безопасности. Возможно ли заразиться при установке с GitHub , pip , gem или PPA . Например, кто-то получил доступ к паролю участника и может изменить какой-то файл. Как это уже произошло с Linux Mint 21 февраля 2016 года .

Как они проверяют код, когда кто-то "проталкивает" его в репозиторий? Какова вероятность того, что в коде будет искусно спрятан бэкдор? И что я могу сделать, чтобы быть уверенным в своей безопасности при установке из репозитория с низким рейтингом, без использования виртуальных машин?

Answer 1

Можно ли разместить вредоносное ПО на ресурсе OpenSource?

Да, точно так же, как с программным обеспечением с закрытым исходным кодом.

Как они проверяют код, когда кто-то "проталкивает" его в репозиторий?

Это зависит от того, о каком репозитории вы говорите, кто такие "они", и о конкретном проекте.

Какова вероятность того, что в коде будет искусно спрятан бэкдор?

Учитывая огромное количество открытого исходного кода, доступного в мире, очень мало. Однако вас беспокоит вероятность того, что у того, что вы загружаете и запускаете, будет известная проблема безопасности, которая затем используется, и эффект этой уязвимости, который является другим и более широким вопросом.

И что я могу сделать, чтобы быть уверенным в своей безопасности при установке из репозитория с низким рейтингом, без использования виртуальных машин?

Прочитайте код, прежде чем запускать его - это преимущество программного обеспечения с открытым исходным кодом. В противном случае вам просто нужно положиться на туманного «кого-то другого», чтобы сделать это за вас, как с проприетарным программным обеспечением.