Arch Linux 最大のソフトウェア リポジトリがマルウェア危機によりサインアップをブロックしている

近い将来、新しい開発者が自分のアプリを Arch Linux ユーザーと共有することはなくなるでしょう。 Linux ディストリビューション最大のコミュニティ ソフトウェア リポジトリである AUR (Arch User Repository) は、管理者がマルウェア危機に対処している間、新規登録をブロックしています。

AUR の監督者は、1,500 を超えるマルウェアに感染したアプリ パッケージを発見し、削除しました。 フォスフォース と説明します。メンテナンス チームはサインアップをブロックしていることを公には認めていませんが、他のすべてが通常どおり動作しているにもかかわらず、登録ページにアクセスしようとするとエラーが発生します。これは、新しい開発者を許可する前にリポジトリのクリーンアップを遅らせる試みのようです。

AUR がいつアクセスを再開するか、またそのチームがインシデントの再発を防ぐためにポリシーの変更を計画しているかどうかは不明です。現時点では、必要なソフトウェアがこの通常のチャネルから入手できない場合は、代替リポジトリまたは直接ダウンロードを検討する必要があります。

Arch Linux がマルウェアの問題に対処しているのはなぜですか?

攻撃者と審査の欠如が原因の可能性がある

AUR ソフトウェア パッケージ内のマルウェアの背後に誰がいるのか、その背後に組織的な取り組みがあるのか​​どうかも含めて明らかではありません。ただし、波は複数あり、第 2 波には検出が難しい悪意のあるコードが含まれていました。言い換えれば、侵入者は適応しつつあるということだ。

しかし、Arch Linux ユーザーは、このようなセキュリティインシデントが起こるのは時間の問題だと主張しています。 AUR は公式リポジトリではないため、信頼できるユーザーの監査や制御されたバイナリ パッケージの作成などの詳細なスクリーニング方法はありません。これまで、マルウェア作成者が敵対的なアプリを登録して拡散することは比較的簡単でした。

Reddit ユーザーが示唆しているように、より厳格な審査システム (おそらく公式リポジトリとして) は、アプリの申請プロセスを遅くする可能性がありますが、信頼性を大幅に向上させる可能性があります。 Arch Linux の頼りになるソフトウェア ポータルがある程度安全であることがわかっていれば、Arch Linux を使用する可能性が高くなります。

競合他社の中には、より徹底した審査プロセスを設けている企業もあります。 Ubuntu の Snap Store は、新しい開発者を精査し、自動チェックを実施し、拡張された権限を必要とするソフトウェアについては手動レビューを要求します。これは、より自由を求めるフリー アンド オープン ソース (FOSS) 愛好家には魅力的ではないかもしれませんが、Arch が経験したようなマルウェアの急増も防ぐことができます。