공식 우분투 리포지토리 (모두 archive.ubuntu.com또는 미러에서 찾을 수있는 모든 것을 포함 하여)는 모두 완전히 선별되었습니다. 이 수단 main, restricted, universe, multiverse,뿐만 아니라 -updates및 -security. 거기에있는 모든 패키지는 데비안에서 왔거나 데비안 개발자가 업로드했거나 우분투 개발자가 업로드 한 것입니다. 두 경우 모두 업로드 된 패키지는 업 로더의 gpg 서명으로 인증됩니다.

따라서 공식 아카이브의 모든 패키지가 데비안 또는 우분투 개발자에 의해 업로드되었음을 신뢰할 수 있습니다. 또한 다운로드 한 패키지는 리포지토리의 파일에있는 gpg 서명으로 확인할 수 있으므로 다운로드 한 각 패키지는 Ubuntu 또는 Debian 개발자가 업로드 한 소스에서 Ubuntu 빌드 팜에 빌드되었음을 신뢰할 수 있습니다 ¹.

이로 인해 명백한 맬웨어가 발생하지 않을 수 있습니다. 신뢰할 수있는 위치에있는 누군가가 업로드해야하며 업로드가 쉽게 트래킹 될 수 있습니다.

이것은보다 비밀스러운 사악함의 문제를 남긴다. 업스트림 개발자는 다른 유용한 소프트웨어에 백도어를 넣을 수 있으며, 이러한 아카이브로 만들 수 -에 universe또는 multiverse라이센스에 따라. 사람들은 데비안 아카이브의 보안 감사를 실행하므로이 소프트웨어가 대중화되면 백도어가 발견 될 가능성이 있습니다.

패키지는 main추가 검사가 필요하며 우분투 보안 팀으로부터 더 많은 사랑을받습니다.

PPA는이 중 거의 없습니다. PPA에서 얻을 수있는 보장은 다운로드 한 패키지가 Ubuntu 빌드 인프라를 기반으로하며 나열된 업 로더의 Launchpad 계정에있는 GPG 키 중 하나에 액세스 할 수있는 사람이 업로드 한 것입니다. 업 로더가 본인의 신원을 보증 할 수는 없습니다. 누구나 ‘Google Chrome PPA’를 만들 수 있습니다. PPA에 대한 다른 방법으로 신뢰를 결정해야합니다.

¹ :이 신뢰 체인은 Ubuntu 인프라에 대한 광범위한 침입으로 인해 손상 될 수 있지만 모든 시스템에 해당됩니다. 개발자의 gpg 키가 손상되면 블랙 햇이 패키지를 아카이브에 업로드 할 수 있지만, 아카이브가 각 패키지의 업 로더에게 이메일을 보내기 때문에이 사실을 신속하게 알 수 있습니다.

답변