Как я могу убедиться, что Octoprint не может / не превратит мой RaspberryPi в вредоносное ПО? - PullRequest
Новая
       38

Как я могу убедиться, что Octoprint не может / не превратит мой RaspberryPi в вредоносное ПО?

0 голосов
/ 27 марта 2019

Я не имею в виду никакого оскорбления, но когда я настраивал свой Octoprint, мой скептически настроенный коллега отметил, что он хочет обратиться к автоматическим обновлениям программного обеспечения, создавая широкую поверхность для потенциальных злоумышленников.

В конце концов, RaspberryPi - это устройство в моей домашней сети, и я беспокоюсь о том, что может произойти, если он загрузит и запустит код, предназначенный для поиска других уязвимых устройств в моей сети.

Полагаю, я мог прочитатьоткрытый исходный код, но я не знаю, какова история поставки программного обеспечения.

Планирование пожертвовать Patreon Джины Хаусге , чтобы спросить напрямую.

Ответы [ 2 ]

1 голос
/ 27 марта 2019

Вы можете отключить функцию автоматического обновления Octoprint. Он также с открытым исходным кодом, поэтому вы можете изменить его код, чтобы он никогда не связывался с Интернетом.

0 голосов
/ 28 марта 2019

Цитирование Gina Häußge :

Как и в случае с любым программным обеспечением, которое вы устанавливаете на свои машины, нет никаких гарантий, что им нельзя злоупотреблять.Механизм обновления OctoPrint использует Github Releases только через HTTPS, и я требую, чтобы любой, у кого есть доступ к репозиторию, включил двухфакторную аутентификацию.Это должно сделать довольно маловероятным получение каких-либо мошеннических релизов через официальный механизм обновления.Вы также можете вообще запретить OctoPrint доступ к Интернету, он будет работать нормально.Имейте в виду, однако, что вам нужно будет позаботиться об обновлениях и установках плагинов и так далее вручную.Говоря о плагинах, вы, очевидно, также не должны устанавливать ничего, что найдете где-то в сети.Я делаю все возможное, чтобы проверять плагины, которые регистрируются в официальном репозитории, но я не могу гарантировать, что их авторы имеют 2FA и такие включенные для своих репозиториев ... Все, что я могу вам сказать, это то, что я делаю все возможное, тратить много мыслейпо вопросам безопасности, и если толчок наступит, вы всегда можете прочитать код самостоятельно.

...