Исходное сообщение
"Ричард Столлман выступил с критикой MacOS X" Отправлено user257, 30-Сен-09 07:41
>>А в той же убунту вы все апдейты устанавливаете вручную, предварительно проанализировав >>код? > >0. Весь поступающий код просматривать естественно у меня времени нет... у меня >львиную долю времени занимает написание кода... Этой части ответа достаточно, на самом деле :) >1. Я лично устанавливаю апдейты стачала на специальный хост где есть избыточный >мониторинг некоторые специфические скрипты и набор краш тестов. Последовательность операций отработана... >если ничего подозрительного в репортах нет - заливаю апдейты в локальный >репозитарий иначе - разбираюсь с проблемой... Хорошая практика, уважаю. Но что будет, если в апдейте есть намерено допущенная ошибка, ставящая безопасность системы под угрозу? Краш-тесты скорее всего предназначены для оценки стабильности апдейта, а не его безопасности. >2. Вероятность того что кто-то кто подобно мне проводя подобный (хоть поверхностный) >аудит обнаружит что-то подозрительное не так мала... Специально сделанные ошибки? Вряд ли. >3. При непонятном поведении системы довольно просто определить источник и выявить связь >с апдейтом. Это требует определенной квалификации но это только дело времени >и это ДОСТУПНО... Непонятного поведения может и не быть — до взлома. Или до актвизации трояна, если кому-то удалось протащить свой код. Итого, получается, что ваши действия затратны (требуют определенной квалификации и времени), но совсем не эффективны против намеренных атак. Да и против действительно серьезных ошибок — тоже. Nginx, ssh используют все. Про дыры в них помните?