Безопасна ли покупка open source software?

0

0

Доброго времени суток, уважаемые участники форума!

Меня беспокоит следующий вопрос: существуют ли механизмы, гарантирующие, что при покупке CD-диска(ов) с каким-либо open source продуктом (например, Red Hat Linux), я куплю его в нетронутом виде, без каких-либо вредоносных исправлений в исходниках?

Ссылка

←	Зависание smp ядра 2.4.21 EL RHEnterpise 3

слабый комп и новое ядро

→

Очень странный и наивный вопрос.

Если внимательно посмотрите архив новостей, то обнаружите кучи патчей к дыркам. Другое дело, что они обнаруживаются и заделываются достаточно быстро.

Для решения вопросов вредоносности можно воспользоваться специальными дистрибутивами: http://www.altlinux.ru/index.php?module=utes http://www.altlinux.ru/index.php?module=chainmail1

binr ★★
(23.06.04 19:15:05 MSD)

Ответ на: комментарий от binr 23.06.04 19:15:05 MSD

Он про бэкдоры.

jackill ★★★★★
(23.06.04 22:08:49 MSD)

Ссылка

Нет.

Но наличие исходников гарантирует, что ты сможешь это отследить.

Прецеденты были, когда хакеры взламывали репозитории и пытались сделать подмену, но репозитории сразу блокировались и все исправлялось.

Естественно, что в релизы такие штуки не попадали (тьфу, тьфу, тьфу).

jackill ★★★★★
(23.06.04 22:10:19 MSD)

Ссылка

Если ты имеешь в виду - не добавил-ли кто из составителей CD отсебятины - на этот случай есть md5sum и gnupg, и на сайтах (те-же RedHat-ы, тот-же kernel.org) обычно публикую цифровые подписи и сигнатуры к файлам - проверить не сложно. А отследить - не ломанул ли кто тот-же kernel.org и не внес пару-тройку строчек в новый релиз ядра - это уже другая история :) Но обычно замечают довольно шустро, было несколько случаев.

~~quarck~~ ★
(24.06.04 05:59:07 MSD)

Ответ на: комментарий от quarck 24.06.04 05:59:07 MSD

Re[2]: Безопасна ли покупка open source software?

To binr, jackill: Действительно, я имел в виду "бэкдоры", но немного в другом ключе - диски печатает кто попало, при наличии открытого кода ему намного легче оставить в программе свои закладки.
А есть ли в Санкт-Петербурге какие-либо официальные места распространения Linux'а (в частности, Red Hat)?

quarck wrote: "Если ты имеешь в виду - не добавил-ли кто из составителей CD отсебятины...".
Да-да-да, я именно это и имею в виду. :)

quarck wrote: "...на этот случай есть md5sum и gnupg...".
А можно чуть подробнее? Что это такое, где берут и как пользуют?

Watsenzook
(24.06.04 12:08:42 MSD) автор топика

Ответ на: Re[2]: Безопасна ли покупка open source software? от Watsenzook 24.06.04 12:08:42 MSD

to Watsenzook: Фирма имеет авторизацию от ALTLinux: http://www.etersoft.ru/

binr ★★
(24.06.04 12:26:17 MSD)

Ссылка

Ответ на: Re[2]: Безопасна ли покупка open source software? от Watsenzook 24.06.04 12:08:42 MSD

>А можно чуть подробнее? Что это такое, где берут

Берут на сайте производителя дистрибутива. Вменяемые сборщики также кладут текстовые файлы с md5 signature на диски.

>и как пользуют?

ну, например, так:

$ cat /dev/cdrom 2>/dev/null | md5sum

в результате в консоли ты увидишь md5-подпись и сравнишь с той, что на диске и на сайте. Если совпадает - значит всё ОК. Если нет, то или есть бэкдоры, или, вероятней всего, какие-то пакеты были повреждены при сборке или загрузке из инета сборщиками.

bsh ★★★
(24.06.04 17:10:38 MSD)