[riminilug-general] Open Source, sicurezza e repository

[Ivan Tarozzi <itarozzi@xxxxxxxxx>]

Ciao a tutti,

è una cosa che ogni tanto mi torna in mente, e oggi, forse a seguito
anche della serata di Gabriele sulla sulla sicurezza, vorrei condividere
questa cosa e sapere cosa ne pensate.

Diciamo spesso che il software open source è instrinsicamente esente da
backdoor o peggio, perchè possiamo analizzare i sorgenti. Ok, può
contenere bachi e vulnerabilità come tutto il sw, ma non intenzionali.


Noi però installiamo sui nostri PC (salvo alcune distro) pacchetti
binari, compilati da altri.

E inoltre, seguendo vari tutorial, spesso si fa riferimento all'aggiunta
di repository esterni a quelli "ufficiali" della distro, vuoi per
installare versioni più recenti o sw non compresso nella nostra distro.

Esempio di stamattina: https://yarnpkg.com/lang/en/docs/install/


Addirittura ora esistono software pacchettizzati con AppImage o sistemi
simili, che in alcune situazioni sono piuttosto comodi.


Ora, i miei dubbi:

1 - come possiamo essere sicuri che il binario che installiamo con apt
(o simili) sia generato dal sorgente open che troviamo su github o
comunque in rete?

2 - aggiungiamo la chiave pgp del repo esterno, OK. Ma come possiamo
essere sicuri che il sw contenuto nel repository terze parti sia sicuro
ed esente da backdoor o altro?

3 - è un sistema che si basa sulla fiducia e sulla massa critica (della
serie mi fido degli sviluppatori di quel progetto) o esiste qualcuno che
periodicamente compila i sorgenti di un certo sw e lo confronta con
quello pubblicato in binario?


Non è per essere paranoici, ma solo per capire meglio come funzionano
queste cose :)


Ivan


---------------------------------------------------------------------
Per cancellarsi, scrivi a: riminilug-general-unsubscribe@xxxxxxxxxxxx
Se vuoi conoscere altri comandi, scrivi a: riminilug-general-help@xxxxxxxxxxxx