Vindo do mundo Windows, onde tenho o hábito de colocar cada novo EXE ou arquivo de instalação em algo como Virustotal, ou pesquisar no Stack Exchange/Reddit por revisões sobre a segurança (sem malware, sem spyware, etc) de uma peça específica de software antes de instalá-lo.
Com o Linux, é quase totalmente seguro instalar qualquer utilitário ou software, desde que eu esteja usando os repositórios padrão que vêm com novas instalações do sistema operacional a partir de imagens de fornecedores?
Se não, qual é um processo geral para validar a segurança de um utilitário/programa/aplicativo Linux específico?
Resposta curta
Sim, é 'quase seguro' instalar qualquer utilitário ou software, desde que você esteja usando os repositórios padrão que vêm com as novas instalações do sistema operacional. Os repositórios padrão contêm software que é testado pelos desenvolvedores e/ou mantenedores da distribuição Linux.
Exemplo
Existem níveis de segurança. Tome o Ubuntu como exemplo:
Os desenvolvedores/mantenedores do Ubuntu que trabalham na Canonical são totalmente responsáveis pelos pacotes do programa central (o repositório principal etc.) que são usados na versão do servidor e todos os tipos de desktop Ubuntu. Em alguns casos eles estão desenvolvendo esses programas, mas em muitos casos esses programas são desenvolvidos e empacotados 'upstream' por outras pessoas/grupos, por exemplo Debian. Independentemente da origem dos pacotes, todos os pacotes principais se beneficiam do suporte de segurança total fornecido pelo próprio Ubuntu.
A funcionalidade do software no universo de repositórios e multiverso é testada, mas o software é desenvolvido e empacotado por outras pessoas ou grupos de pessoas, e o Ubuntu não pode garantir a segurança.
O software de um PPA não é testado pelos desenvolvedores e/ou mantenedores do Ubuntu. A qualidade e segurança depende do desenvolvedor/mantenedor. (Sou responsável por um PPA e estou usando alguns outros PPAs, mas conheço muitas pessoas que ficam longe deles por causa do risco de segurança.)
Todos os softwares acima são mantidos atualizados automaticamente.
Os softwares baixados separadamente (como o caso típico de aplicativos do Windows) são menos seguros (por exemplo, você deve verificar se eles estão atualizados).
O software que você mesmo compila ou mesmo desenvolve pode ou não ser seguro, dependendo de sua habilidade e com o que o software está lidando.
Estes links descrevem o caso do Ubuntu com mais detalhes:
Quais repositórios do Ubuntu são totalmente seguros e livres de malware?
https://ubuntu.com/security
Conclusão geral
De maneira semelhante, outras distribuições Linux têm repositórios que são mais ou menos testados quanto à função e segurança. Você deve verificar cuidadosamente a origem, reputação e manutenção de softwares mais 'periféricos' antes de instalá-los.
Antes de instalar, é uma boa ideia testar o software em um sistema de 'teste' separado, por exemplo, em uma máquina virtual ou em um sistema ativo ou em um segundo computador.
Pacotes de todas as principais distribuições GNU/Linux podem ser melhores em comparação com o Windows Update. Se você confia na Microsoft para não liberar vírus por meio do Windows Update, você também deve confiar em seu distribuidor. Ainda mais, porque a maioria dos pacotes são softwares Livres, com código fonte disponível para o público em geral.
Algumas distribuições, como o Arch Linux, têm repositórios "oficiais" separados e um "não oficial" gerado pelo usuário ( AUR ), com pacotes de repositórios oficiais suportados pelo distribuidor, e o AUR tem uma ressalva para os usuários não confiarem em pacotes dele.
Pense 'seguro' é um paradoxo, seja Unix, Linux, BSD ou qualquer outra distribuição de software. A razão é que você está confiando em outras pessoas com dados. Embora eu tenha usado o Debian por cerca de 10 anos sem grandes problemas, havia alguns pacotes problemáticos, mas estava fora do controle ou conhecimento do distribuidor. Isso é de alguns anos atrás, não lembro o nome do pacote, mas lembro um pouco da funcionalidade do pacote.
Isso foi antes do Firefox mudar para esse processo de lançamento agressivo, onde teria suporte por um número de anos adicionais. O pacote ou complemento era para verificar a segurança de uma página/site. Como todos sabemos, qualquer certificado de site envolve várias coisas. E você gostaria de verificar a força da codificação do certificado e as várias coisas para saber o quão bom ou ruim esse site é em segurança. Algo semelhante a https://github.com/andreicristianpetcu/Base64CertificateViewer/que estou usando atm. A única diferença era que o add-on estava vendendo dados (IP do usuário usando o addon, quais sites o usuário estava indo, etc. etc.) para um terceiro ou terceiros. As pessoas ficaram sabendo disso quase 5-6 anos após o fato. Houve muito drama e, no final, o complemento foi retirado da página de armazenamento / complemento do firefox e eles também fizeram muitas alterações em quanto um complemento externo pode exibir e mostrar o certificado.
FWIW, no momento em que foi conhecido, também foi removido do repositório do Debian, mas o estrago já estava feito. Eu fui o solicitante original para pedir que esse pacote estivesse no Debian. E eu sabia que algumas pessoas que usam o Debian estão em posição vulnerável enquanto outras em posições poderosas. Se algum desses grupos usou esse complemento do repositório. tornaram-se mais vulneráveis.
Agora, esse tipo de roubo de dados, duvido que qualquer loja ou alguém possa prever. Houve casos semelhantes em muitas áreas. Por exemplo, o drama em Freenode,
No que diz respeito à dinâmica social, você não pode descartar nada nem ninguém.
O software livre tenta que as pessoas façam a coisa certa. Quase todos os softwares vêm com uma ou mais licenças e a maioria foi escrita com uma necessidade específica em um momento específico. A maioria dessas licenças precisa adicionar, modificar as licenças para adicionar as proteções de dados que queremos também. A boa notícia é que isso pode ser feito, pois a maioria das licenças foss também são hacky, a má notícia é que, se houver um mau ator, ele poderá ignorar a licença de uma forma ou de outra.
Normalmente (não é uma regra absoluta) é seguro instalar software do repositório central de distribuição, porque esses softwares são compilados e monitorados pelos desenvolvedores que mantêm sua distribuição.
Pode haver um problema diretamente no código original, mas geralmente ele é descoberto antes da publicação, no entanto, inspecionar o código ou fazer a revisão do código é sempre uma boa ideia.
o principal risco em relação a este assunto é quando você como administrador adiciona um novo repositório, sempre que for de um repositório ppa ou yum a responsabilidade muda da distribuição, para os devs do aplicativo especial que você decidir adicionar tem um repositório, e então não poderia haver menos atenção às revisões de código para este aplicativo específico e potencialmente mais risco. Você deve ter cuidado com a qualidade das revisões de código ao adicionar um repositório.
por último, há também mais uma possibilidade arriscada quando você adiciona um software baixando-o do código-fonte e compilando-o em seu sistema, porque se torna sua responsabilidade fazer revisões de código e nem todos são competentes como deveriam.