Existe alguma ferramenta para o Linux que analise o software durante a instalação quanto a vulnerabilidades conhecidas (pontos fracos que podem mais tarde ser explorados)?
Além de verificar o software depois de instalado, quero saber se o software com vulnerabilidades conhecidas pode ser impedido de ser instalado. Por exemplo, uma vulnerabilidade foi descoberta em Java há pouco tempo e depois corrigida. Embora tivesse uma vulnerabilidade conhecida, seria útil impedir a instalação.
É para isso que servem os repositórios. Pegue seus pacotes no branch estável e você deve ser bom.
—
krowe
Normalmente, isso é feito apenas instalando o software dos repositórios oficiais de pacotes. E você impede que as pessoas ignorem isso restringindo o acesso à conta root ou ao sudo.
—
ChrisInEdmonton
Bem, pode ser que eu não estou claro na questão acima. Eu posso impedir que usuários normais instalem qualquer coisa restringindo o acesso à conta root ou ao sudo, mas o que eu quero fazer é, mesmo quando o root está instalando um software, primeiro ele deve ser verificado por alguma "ferramenta" para quaisquer possíveis vulnerabilidades. Mesmo root deve ser informado sobre a vulnerabilidade associada ao pacote.
—
Mehul
não é o software que é vulnerável, é o sistema. Título alterado para refletir isso.
—
Tetsujin
@Tetsujin - Em última análise, é o sistema que é a vítima. No entanto, alguns softwares são vulneráveis a certos tipos de ataques (o que pode acontecer depois, não necessariamente um problema de baixar software infectado). Os PUPs são um problema completamente diferente. Esse termo geralmente se aplica a coisas como o "crapware" que é empacotado com outra coisa, geralmente instalado sub-repticiamente. Um exemplo do que essa questão se refere seria a recente vulnerabilidade descoberta em Java e posteriormente corrigida. A questão é sobre uma ferramenta para reconhecer vulnerabilidades conhecidas e impedir a instalação.
—
fixer1234