Open Source im professionellen Einsatz
Linux-Magazin 10/2015
© Wavebreak Media Ltd, 123RF

© Wavebreak Media Ltd, 123RF

Wie Distributionen Code auf dem Weg vom Entwickler zum Nutzer sichern

Paketlogistik

Freie Software lebt von den Beiträgen unzähliger Entwickler. Welchen Weg durchläuft Code vom Entwickler bis zum Endkunden und wie wird geprüft? Das Linux-Magazin hat bei Ubuntu und Suse nachgefragt.

264

Als Debian-Entwickler ist Michael Vogt seit dem Jahr 2000 aktiv und seit 2004 zudem als Core-Developer bei Ubuntu [1]. Er arbeitet an Programmierprojekten wie Apt, Python-apt, Snappy, Synaptic oder Unattended-Upgrades.

Debian und Ubuntu

Bekommt Vogt Code vom Kontributor geschickt, beginnt er mit dem Sicherheitsprogramm. "In meinen Upstream- Projekten lege ich Wert auf Codereview, jedes Patch sieht ein weiterer Entwickler Zeile für Zeile durch. Insbesondere bei Projekten wie Apt wird hier natürlich ein besonderes Augenmerk auf die Sicherheit gelegt." Damit sind laut Vogt vorab die Low-Level-Prüfungen nach Format Strings und Buffer Overflows gemeint. Bei Apt kommen auch Static-Analysetools wie etwa Coverity und Clang Analyzer zum Einsatz. Es gäbe auch aktive Code-Audits.

Aber auch das Design nimmt er in Augenschein und prüft, wo die Daten liegen und was mit ihnen geschah, bevor sie per Hash oder Signatur geprüft wurden. Auf den Schultern der Maintainer der Distribution liegt laut Vogt eine besonders hohe Verantwortung.

Code von Upstream

Für den Download des Codes von Upstream gibt es für die Prüfung der Hashes und Signaturen keine starren Regeln, lässt Vogt wissen, da jedes Upstream-Projekt anders arbeite. Idealerweise signiere der Upstream-Entwickler seinen Tarball per GPG und sein Schlüssel befinde sich im Web-of-Trust des Maintainers. Dann könne der Distro-Maintainer nach dem Download per GPG prüfen, ob alles stimmt.

Alternativ sei ein Announcement per Mailingliste mit dem Hash des Upstream-Tarball und einer Signatur der Mail ebenfalls ein gangbarer Weg – ebenso wie der über Git mit den Signaturen für das Release-Tag. Jede Release ohne Signatur oder Hash sei dagegen problematisch.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 3 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

comments powered by Disqus

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.