홈>
홈브류는 커뮤니티 중심이기 때문에 누군가가 악의적 인 공식을 제출하면 어떻게됩니까? 이것이 메인 리포지토리에 병합되어 다른 사람이 설치하게됩니까? 홈브류는 어떻게 이것을 막을 수 있습니까?
- 답변 # 1
관련 질문
- homebrew - 추출 중복 검색이 왜 표시됩니까?
- homebrew - mac - 이름이 "brew-cask"인 수식이 없습니다
- homebrew - 이전 버전의 fontforge를 어떻게 설치할 수 있습니까?
- python - macos - high sierra에서 brew 설치 그래프 도구
- xcode - "brew test-bot"이 포함 된 트래비스 작업이 오래된 명령 줄 도구에서 장애 조치
- homebrew - Github 관련 오류를 발생시키는 Brew 명령
- HomeBrew를 통해 OpenCV를 설치하는 동안 체크섬 오류
- macos - 오류 - 캐스 크룸/캐스 크가 이동되었습니다 사제/통조림 대신 탭
- homebrew - 추출 목록 및 특정 버전의 수식 설치
이런 일이 일어날 수 있습니다. 거기에 대한 일반적인 합의는 가능성이 무시할 정도로 작다는 것 같습니다. Google, Amazon 등과 같은 IT 회사는 직원들이이를 사용하는 것이 완벽하기 때문에 그렇게해도 좋습니다.
와이즈 비즈 검토 작품악의적 인 수식을 병합하는 것은 실제로 쉽지 않습니다. GitHub 계정이 필요하고 GitHub 프로필을 작성 (신뢰할 수 있도록)하는 것은 어려운 작업 (프로그래밍해야 함)이 첫 번째 방어선이 될 수 있습니다.
풀 요청 프로세스 동안 공식을보고있는 실제 사람이 있습니다. 더구나 명백한 것은 없으며, 사람들이 그곳에 존재하고 점검을한다는 사실만으로도 많은 사람들이 악의적 인 것을 제안하려고 시도하지 않는 것이 가능합니다.
가능한 공격저장소 해킹이 실제로 발생 했습니까? 다음 예는 쉽게 정직한 실수 일 수 있기 때문에 말하기 어렵습니다.
CVE-2008-01662008 년에 활동적인 데비안 관리자는 "코드 정리"를 위해 OpenSSL에 버그를 도입했습니다. (https://www.schneier.com/blog/archives/2008/05/random_number_b.html)
이제 다른 가능한 공격 메커니즘으로 전환하자
타이 쪼그리고 앉기Attacker는 널리 알려진 것과 비슷한 이름의 패키지를 업로드합니다. 사람들은 오타를 만들고 위조 된 것을 다운로드합니다.
이것은 N.P. Tschacher의 학사 논문에서 Pypi에 대해 성공적으로 입증되었습니다. incolumitas.com/2016/06/08/typosquatting-package-managers/를 참조하십시오.
모든 종류의 수동 검토가이를 포착해야하므로 Homebrew가 안전 할 것입니다.
신뢰 신뢰에 대한 반영(https://www.ece.cmu.edu/~ganger/712.fall02/papers/p761-thompson.pdf)
Ken Thompson의 유명한 에세이는 트로이 목마를 소프트웨어 스택 (컴파일러 및 응용 프로그램 모두)에 삽입하는 절차를 안내하므로 두 가지 모두에 존재하지만 어느 쪽에서도 쉽게 감지 할 수 없습니다.