Компания Canonical опубликовала заявление, связанное с вредоносным ПО в Snap Store

Кoмпaния Canonical oфициaльнo прoкoммeнтирoвaлa нeдaвний инцидeнт, связaнный с выявлeниeм в Ubuntu Snap Store двуx врeдoнoсныx пaкeтoв, oсущeствляющиx сокрытый мaйнинг криптoвaлюты. В зaявлeнии Canonical утвeрждaeтся, чтo мaйнинг в прилoжeнияx в Snap Store явнo безлюдный (=малолюдный) запрещён и не относится к числу незаконных операций, в рассуждении сего проблема формально сводится к появлению приложений со скрытой функциональностью и к введению пользователей в ересь (создатель удалённых в результате инцидента пакетов, использовал приложения с отрытым исходным кодом через других авторов, подставив в него адрес майнера, скрыв наличие данной функциональности с пользователей и представив пакет как собственную проприетарную разработку). Одним с сложных аспектов в поддержании репозиториев является вручение гарантий, что опубликованная программа выполняет как те действия, что от неё ожидают. В классическом репозитории глобоид закладок исключается благодаря организации сборки в собственной заслуживающей доверия инфраструктуре сверху основании исходных текстов проектов, полученных с первых рук. Минусом репозитория является шабаш долгий процесс доведения новых программ после пользователей. Snap решает данную проблему и позволяет разработчикам напрямую снабжать свои программы до пользователей разных дистрибутивов с обеспечением безопасности порядком изоляции приложения от остальной системы. Чисто и в других магазинах-каталогах в Snap Store применяются пара основных шага при проверке: автоматизированное отлаживание пакетов перед их приёмом в указатель и ручное рецензирование в случае выявления определённых подозрений. В силу сложности За невозможно в большом репозитории принимать программы по времени детального ручного рецензирования каждого файла. Неподконтрольно. Ant. зависимо от того, есть исходные тексты неужели нет, ни один каталог никак не может позволить себе ежедневно просматривать сотни тысяч строк нового заключение, поэтому наиболее успешной является прототип на основе установки доверия к источнику расход ПО, а не на основе анализа содержимого. Тем без- менее, случившийся инцидент был неприятным событием, так ожидаемым, так как любому популярному каталогу приложений подобает быть готовым к появлению злоупотреблений. Canonical не по-детски относится к подобным инцидентам и будет распространять. Ant. прекращать серьёзно следить за содержимым каталога и уменьшать безопасность платформы. Из планов держи будущее отмечается продолжение работы за реализации интересных возможностей, связанных с обеспечением безопасности, в качестве кого системы в целом, так и способов изолированного развёртывания приложений. Рассматривается потенция добавления в Snap Store градации после степени доверия - верифицированные авторы пакетов будут обозначаться специальной меткой, что даст запас пользователям легко идентифицировать продукты ото проверенных людей и организаций. В планах как и многочисленные изменения под капотом, такие словно продвижение патчей AppArmor в основной персонал ядра Linux. Источник: http://www.opennet.ru/opennews/art.shtml?num=48605