Как я могу убедиться, что Octoprint не может / не превратит мой RaspberryPi в вредоносное ПО?

Question

Как я могу убедиться, что Octoprint не может / не превратит мой RaspberryPi в вредоносное ПО?

Я не имею в виду никакого оскорбления, но когда я настраивал свой Octoprint, мой скептически настроенный коллега отметил, что он хочет обратиться к автоматическим обновлениям программного обеспечения, создавая широкую поверхность для потенциальных злоумышленников.

В конце концов, RaspberryPi - это устройство внутри моей домашней сети, и я беспокоюсь о том, что может произойти, если он загрузит и запустит код, предназначенный для поиска других уязвимых устройств в моей сети.

Я полагаю, что мог бы прочитать открытый исходный код, но я не знаю, какова история поставки программного обеспечения.

Планирование пожертвовать в Patreon Джина Хаусге, чтобы спросить напрямую.

0

octoprint

Источник

user4943322 27 мар '19 в 00:09

2 ответа

Другие вопросы по тегам octoprint

user1016821 27 мар '19 в 01:53 2019-03-27 01:53 · Answer 1 · 2019-03-27 01:53

Вы можете отключить функцию автоматического обновления Octoprint. Он также с открытым исходным кодом, поэтому вы можете изменить его код, чтобы никогда не связываться с Интернетом.

1

Источник

user1016821 27 мар '19 в 01:53

user4943322 28 мар '19 в 18:41 2019-03-28 18:41 · Answer 2 · 2019-03-28 18:41

Цитирую Джину Хаусге:

Как и с любым программным обеспечением, которое вы устанавливаете на свои машины, нет никаких гарантий, что им нельзя злоупотреблять. Механизм обновления OctoPrint использует Github Releases только через HTTPS, и я требую, чтобы любой, у кого есть доступ к репозиторию, включал двухфакторную аутентификацию. Это должно сделать довольно маловероятным получение каких-либо мошеннических релизов через официальный механизм обновления. Вы также можете вообще запретить OctoPrint доступ к Интернету, он будет работать нормально. Имейте в виду, однако, что вам нужно будет позаботиться об обновлениях и установках плагинов и так далее вручную. Говоря о плагинах, вы, очевидно, также не должны устанавливать ничего, что найдете где-то в сети. Я делаю все возможное, чтобы проверять плагины, которые регистрируются в официальном репозитории, но я не могу гарантировать, что их авторы имеют 2FA и такие включенные для своих репозиториев... Все, что я могу вам сказать, это то, что я делаю все возможное, тратить много мыслей о безопасности, и если толчок наступит, вы всегда можете прочитать код самостоятельно.