Hirdetés

  2. Fórumok
  3. [Linux] A Flatpak

Új hozzászólás Aktív témák

  • sh4d0w sh4d0w félisten
    #175
    #151 urandom0
    Új Válasz
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    sh4d0w
    sh4d0w
    félisten
    #151 urandom0
    #151 urandom0

    Ja értem, oké :D
    Tehát tulajdonképpen nincs semmilyen vizsgálat. Pedig jó lenne, ha lenne, talán akkor a Debian stable sem lenne tele sebezhetőségekkel :)

    De távol álljon tőlem, hogy bántsam a Debiant, egy nagyon jó rendszernek tartom. A maintainereknek is minden elismerésem.
    De némi józan ésszel könnyen belátható, hogy nincs olyan teszt a világon, ami - néhány triviális biztonsági problémát leszámítva - alkalmas lenne arra, hogy a csomagok biztonságát garantálják. Vannak automatizált tesztek, amik bizonyos patterneket (SQL injection, XSS, stb.) illetve megtalálnak backdoorokat, malware-eket. Ilyeneket le lehet futtatni, de ehhez is kell szakember, idő, energia.

    A legbiztosabb módszer a sebezhetőségek kiszűrésére az, amit Lasse Collin is megtett, hogy sorról sorra, commitról commitra végigellenőrizni a forráskódot.

    Aligha hiszem, hogy van okod ilyesmit kijelenteni. A megbizhatosag magaban foglalja a biztonsagot is es nem veletlenul letezik a Debian Security Team. Termeszetesen soha senki nem jelentette ki - ebben a topicban sem -, hogy nincs es nem lesz a Debianban sebezhetoseg, mindazonaltal szeretnek ramutatni, mekkora ostobasag volt a linked: 2023. junius 10-en jelent meg a jelenlegi stable es belinkeltel tobbnyire 2024-es CVE-ket. Kabe nagyjabol 1-2 lehet ezekbol a CVE-kbol olyan, ami a kiadas idejen tenylegesen detektalhato lett volna. Mindezeken tul az sem mindegy, hogy egy sebezhetoseg CVSS score-ja mondjuk 4.0 alatt van, vagy sem. Nagyon sok helyen a medium besorolast kapott serulekenysegek nem showstopperek, hanem a javitas megerkezeseig mitigalandok vagy security sign-off-ot igenylok.

    Nemcsak a csomagok/modulok, hanem a teljes szoftverek biztonsagat sem lehet garantalni, de vannak olyan eszkozok, amelyek meg forraskod formaban kepesek ramutatni vagy a programozasbol szarmazo kozvetlen biztonsagi hibakra (pl. c kodban hianyzik a user controlled valtozo hosszanak ellenorzese), vagy a mar bejegyzett serulekenyseggel hasznalt komponensekre - mindezt automatikusan a CI/CD pipeline-ban, human beavatkozas nelkul. Nem kerek arra valo hivatkozast, hogy a Linuxra fejleszto hobbiprogramozoknak nem telik CI/CD pipeline-ra, vagy Sonarqube-ra, mert mindegyik kivitelezheto ingyen, vagy tenyleg gombokert, masreszt egy reszuk biztosan nem hobbiprogramozo, hanem professzionalis, aki a munkahelyen csinalja az uzleti szoftver, a szabad idejeben meg Linuxra ir valamit.

    Megkerdeztem tobb, egymastol fuggetlen AI-t is, milyen biztonsagi ellenorzeseket vegeznek a Debian Projectben: code review, dependency CVE check, vulnerability scanning - a teljesseg igenye nelkul.

    "Milyen egy biztonsági ellenőrzés egyébként?
    Hát ez az, pont erre várom én is a választ tőletek :D"

    Nem, nem ezt kerdezted, hanem azt, hogy Debianek milyen ellenorzeseket vegeznek - nem biztos, hogy egy altalanos ellenorzes es a DB altal elvegzettek teljesen fedik egymast.

    Az altalad leirtak alapjan en nem latom biztositottnak, hogy a Flathub megbizhato csomagokat kinal es tovabbra is fenntartom azt a velemenyemet, hogy nagyjabol az utolso megoldas legyen barmelyik 3rd party csomagforras hasznalata, beleertve a PPA-kat is.

    Ettol fuggetlenul felolem mindenki azt hasznal, amit akar es meg csak karorvendeni sem fogok, ha valaki emiatt bekap valami tamadast, azt viszont nagyon is szeretnem elerni, hogy aki ebbe a topicba teved, vagy mar itt van, tisztan lassa a veszelyeket, a mukodesi mechanizmusokat, veszelyeket.

Új hozzászólás Aktív témák