Re: [OT] como convencer a la "Seguridad" de que no hay backdoors en los .deb?
On Sun, Jan 17, 2010 at 03:25:43PM +0100, ga wrote:
>
> On Fri, Jan 15, 2010 at 12:49:07PM -0500, Walber Zaldivar Herrera wrote:
> >
> > Hasta que punto es auditable que el .deb que descargamos coincida
> > 100% con el código fuente publicado?
>
> [Un paquete upstream podría añadir un backdor entre versiones]
>
> Si un desarrollador de Debian ve que hay una versión nueva del programa
> que mantiene, se baja las fuentes, lo empaqueta y lo sube, sin hacer
> nada más, el paquete será un .deb perfectamente válido, pero con una
> bonita puerta trasera.
(Aquí si me siento personalmente ofendido)
No, la mayoría de los empaquetadores no hacen eso. ¿Alguna vez has
notado que las nuevas versiones tardan más de 15 minutos en estar
empaquetadas? ¿Te has preguntado por qué? La respuesta, en muchas
ocasiones, es precisamente que el mantenedor no va a simplemente
cambiar el .orig.tar.gz y compilar. Hay que leer el diff, entender (a
grandes razgos, por lo menos) qué cambió, actualizar los parches
(algunos de seguridad) que se le aplican al paquete. Sí, hay gente que
no hace eso, y también es posible que uno meta la pata. Pero, en
general, ese comentario tuyo es una falta de respeto a la gran mayoría
de los empaquetadores.
--
Rodrigo Gallardo
Reply to: