我对将 Ubuntu 作为我的日常驱动操作系统还很陌生。我的问题是如何确定应用程序是否是使用 apt 命令从信誉良好的来源下载的?我不确定在哪里可以找到有关软件包的信息以及如何验证所述软件包的作者。我已经安装的软件包使用一个驱动器的 API,并且被一个驱动器识别为未经验证的发布者。话虽这么说,很多人都高度评价这个通过 apt 命令安装的应用程序,而无需添加额外的存储库来进行搜索。
到目前为止,我有一个朋友向我提到,开箱即用的 apt 存储库管理得相当好。如果我想维护一个完全安全的环境,我就不应该添加更多存储库以便于搜索。感谢这个社区可以为我提供的任何信息,很抱歉提出这样的问题,我只是不确定该向谁寻求更多信息。
让我们向上游工作,看看这个软件来自哪里。
首先,让我们向 apt 询问一些基本信息:
接下来,让我们检查一下 Ubuntu 软件包报告的错误: https: //bugs.launchpad.net/ubuntu/+source/onedrive
结果:仅报告了两个错误,这两个错误似乎都不是安全问题。
现在让我们上游到 Debian: https: //tracker.debian.org/pkg/onedrive
结果:大量维护人员采取行动。新的上传、测试、向后移植。不需要采取严肃的行动。这些都是好兆头。
让我们看看 Debian 的错误列表:https://bugs.debian.org/cgi-bin/pkgreport.cgi ?dist=unstable;package=onedrive
结果。报告的错误很少,似乎没有安全问题。
最后,我们上溯到 GitHub 上的源项目: https: //github.com/abraunegg/onedrive
结果:项目活跃,贡献者众多,正在添加新工作,报告了 16 个看起来相当典型的“问题”(错误)。
因此,结果是这个软件来自一个看似健康的上游项目,在 Debian 上得到积极维护,并且(显然)在任何级别都没有报告与安全相关的错误。
这对于开源软件来说是最“安全”的。
你的朋友是对的。只要您从操作系统附带的官方存储库安装官方应用程序,几乎可以保证您下载的是安全合法的软件。不要在没有充分理由的情况下随意添加存储库,并在添加此类存储库之前对其进行研究。