树莓派悄悄放了个微软“后门”

Spoony 12.75m2021-02-21189 次点击
树莓派官方系统最近的一项更新,在树莓派玩家中炸开了锅。

有开发者发现,自己的Raspberry Pi OS在更新后,apt的软件源列表中加入了微软仓库。

一些用户觉得,apt的源是Linux用户软件“大本营”,没有通知用户就塞进来一个地址,让人感到不安。

更新后的树莓派官方系统,会在软件包管理文件夹 /etc/apt/sources.list.d/ 中加入了一个vscode.list文件。

而这个vscode.list文件指向了微软的软件源地址 http://packages.microsoft.com/repos/code ,这个地址带有stable和main两个分支,其中有三个不同版本的VS Code软件包。

为什么要添加微软仓库

树莓派软件工程总监表示,官方此举为了让初学者安装VS Code之类的工具更加容易。

虽然对于大多数开发者而言,手动添加微软仓库再安装软件并不困难,但树莓派的初衷就是推广低价计算机,促进计算机教育。

对于想学习代码的初学者来说,可能安装IDE会存在障碍。而加入微软仓库后,只需apt install code一行代码即可安装VS Code。

### 开发者觉得不好

本来应该是方便用户安装软件的事情,为何却遭到了很多开发者的质疑?

很多树莓派用户觉得,官方突然更新了这么一下,事前事后都没有任何说明,利用了大家对官方的信任,可能会给大家带来安全风险。

Raspberry Pi OS不仅加入了新的软件包地址,还安装了微软的GPG密钥,用于对微软仓库中的软件包进行签名。

开发者担心这可能打开“潘多拉盒子”。

如果你准备的软件包需要一个依赖项,而这个依赖项又在微软仓库中,那么它将被系统自动信任。

而如果这个依赖项有开源版本,同时又有微软的版本,这个开源软件会不会被微软的软件替代呢?

而且有了微软仓库,以后你每次更新Raspberry Pi OS和软件包时,系统都将对微软服务器执行ping操作。微软可以借此获得树莓派用户的IP地址。

倘若再用这个IP地址去访问Bing搜索,微软就可以收集到树莓派用户的习惯,以后甚至可以推送个性化广告。

总之,对于激进的开源用户而言,树莓派基金会没打招呼就加入了一家商业公司的专有软件包地址,让人难以接受。

树莓派基金会CEO回应外媒Gizmodo时表示,少数人对安装软件时的信任感有着不切实际的看法,专有软件也不代表不安全。“说我们选择信任微软是在背叛人们,这很荒谬”。

### 解决方案

不管这位CEO怎么说,有些开发者已经开始手动删除微软了,他们给出了几大解决方案:

继续使用Raspberry Pi OS,请将文件 /etc/apt/sources.list.d/vscode.list 的内容全部注释掉,删除密钥 /etc/apt/trusted.gpg.d/microsoft.gpg;

如果担心今后的更新还会修改apt软件包列表,可以在/etc/hosts文件中加入一句:
```
127.0.0.1 packages.microsoft.com
```
由于只有Raspberry Pi OS加入了微软源,一些反对声更激烈的用户决定“跳船”,改用原生Debian等系统:

对不起Raspbian(官方系统旧名称),但我不得不对你说再见。别往心里放。祝你一切顺利,万事如意。

一位Reddit用户如是说。

https://mp.weixin.qq.com/s/sqF0bB0cv6OyfifyCGGQ7A
收藏 ♥ 感谢
相逢已是初识 30.15m 2021-02-22 
cool
yuandj 1.3m 2021-02-25 
激进的开源用户都是这么被教育出来的。原来树莓派基金会的CEO每天都忙着的事情就是“社区”大事。敬畏开源!

“树莓派的初衷就是推广低价计算机,促进计算机教育。”这个初心可不能变啊。最近浏览的树莓派400的方案,挺不错的,咱们的小组是不是有这样的计划,也整一个趣PI玩玩,我想象的样子就是:

+ 一个键盘
+ 无线投屏器
+ 一个无线鼠标。
RaspiSQH 71.05m 2021-02-25 
@yuandj
我觉得没有 2333
稚晖君的那个小板子挺有意思的,现在可以买到了。
yuandj 1.3m 2021-02-25 
@RaspiSQH 求推荐,学习学习看看。

登录注册 后可回复。