우분투 소프트웨어 센터 믿을 수 있나요?

소프트웨어를 업로드하기 전에 애플 앱 스토어처럼 우분투측에서 검수하나요? 아니면 구글 플레이 스토어처럼 개발자로 등록한 사람들이 알아서 업로드하는 건가요? 우분투 소프트웨어 센터는 구글 플레이 스토어와는 다르게 누가 업로드했는지 안 뜨던데요.

만약 아무나 올릴 수 있는 거면 오픈 소스 소프트웨어 중에 우분투 소프트웨어 센터에 업로드 안 된 것을 골라서 백도어 삽입한 다음에 업로드하는 사람도 있을 것 같은데요.

제가 알기로는… 제가 틀린 부분이 있으면 지적해 주시면 감사하겠습니다.

우분투 소프트웨어 센터는 apt repository의 graphical front-end일 뿐입니다. 즉, 캐노니컬이 검수하느냐 아니냐가 아니라는 것이죠. apt repository는 apt-get command를 이용하여 설치할 수 있는 소프트웨어 저장소라고 정의할 수 있을 것이며, 그 소프트웨어는 main, universe, restricted, multiverse로 구분됩니다. 다른 말로 표현하면, 우분투 소프트웨어 센터는 캐노니컬이 분류해주는 방식으로 apt repository의 소프트웨어를 보고, 설치하고, 지우는 도구일 뿐, 캐노니컬의 검수 여부와는 직접적인 관계가 없다는 것이죠. (참고: PPA는 위와 별도의 사설 저장소입니다.)

위 구분 중에서 main 만이 캐노니컬이 공식 지원하는 소프프웨어입니다. 나머지도 분류를 하므로 캐노니컬이 관리 한다고는 할 수 있으나, 어느 정도까지 신뢰할 수 있는 것인지는 의문입니다. 우분투 소프트웨어 센터는 사용자가 선택하는 바에 따라 main이 아닌 것도 보여주므로 캐노니컬의 공식 지원 여부와 직접적인 관계가 없다고 보아야 할 것입니다. 소프트웨어 패키지가 어디에 속하는지는 우분투 소프트웨어 센터에서 보여주지 않는 것으로 보입니다. (제가 찾지 못한 것인가요?) 그 정보를 보려면 터미널에서 "apt-cache policy package-name"을 치시면 됩니다. 예를 들면, "apt-cache policy inkscape" 하면, inkscape의 정보를 보여주죠.

실질적인 관점에서 보면, 우분투 설치 CD (혹은 iso)에 있는 것들은 모두 main에 속하고 믿을만 하다고 할 수 있을 것이며, 거기에 사용자가 추가하는 소프트웨어의 경우, 그 저작자의 신용에 따라 각자 판단하셔야 한다는 것이 제 의견입니다. 캐노니컬의 분류 정보, 저작자 웹 사이트와 사용자 평가가 참고할 정보가 되겠죠.

단, 제가 알기로는… 우분투 소프트웨어는 주로 lanuchpad.net에서 관리되며, lauchpad 소프트웨어 등록은 source code도 함께 해야하므로, 실력이 되신다면, 직접 소프트웨어 소스를 살펴보고 직접 컴파일하여 설치하시면 가장 안전하겠죠. launchpad가 아닌 다른 source에서 얻는 소프트웨어 (예: 구글 크롬 브라우저)의 안전성은 소스 코드가 없으니 개발자의 신용을 참고하여 각자 판단하는 수 밖에 없겠죠.

자세한 사항은 아래 글을 참조하세요.
[url:33g2m8w4]https://help.ubuntu.com/community/Repositories/Ubuntu[/url:33g2m8w4]

소프트웨어 센터를 포함해서 우분투의 패키지 관리는 크게 5가지로 구분됩니다.

happyman님이 달아주신 답글의 링크에서 한단계 위로 가면 다음과 같은 글이 있습니다.
[url:1aqltlc1]https://help.ubuntu.com/community/Repositories[/url:1aqltlc1]

여기에 보면 main, restricted, universe, multiverse라는 단락들이 있죠.

main에 있는 패키지들은 모두 free software입니다. 주로 GPL 을 중심으로 그에 파생된 라이센스(LGPL등)를 기반으로 하고 있죠.
여기에 있는 패키지들은 우분투에서 공식적으로 지원하는 패키지들입니다. (보안패치, 업데이트 등)

restricted는 의미 그대로 (자유가) 제한된 소프트웨어들을 말합니다.
가장 쉽게 볼 수 있는건 "상용/독점 드라이버"가 되겠네요. 제일 많이 보는건 그래픽 드라이버가 아닐까 합니다.
대부분 소스 비공개 + 배포 제한이 걸린 패키지로 이루어져 있고 보증은 캐노니컬 + 각 업체들이 하고 있습니다.

universe는 free software지만 캐노니컬이 지원하지 않는 패키지 모임입니다.

multiverse는 우분투에서 지원하지도 않고, 대부분 우분투의 주 라이센스 정책(GPL 등)에도 부합되지 않는 패키지들입니다.
아마 최근에는 우분투 소프트웨어의 게임 탭에 있는 것들이 여기에 포함되지 않을까 싶은데 확인은 안해봤습니다.
요컨대 free software도 아니면서 우분투가 지원하지도 않는 녀석들입니다.
아마 해당하는 각 업체들은 지원하고 있을겁니다.

마지막 다섯번째가 바로 PPA입니다. Personal Package Archive의 약자입니다.
PPA는 문자 그대로 개인이 만든 저장소입니다.
지원도 당연히 개인 혹은 커뮤니티에서 하고 있죠.
이건 어떠한 실질 보증도 없습니다. 다만 네임벨류를 가지게 되겠죠. (webupd8 team같은)

마지막으로 소프트웨어 센터에 올라오는 것들의 '검수’라 할 수 있는 것들은 main과 restricted에 포함되는 소프트웨어 들입니다.
리눅스는 특히 이러한 프로그램 설치 경로가 다양하기 때문에 자신의 안전은 스스로 챙겨야 하는 부분이 많습니다.
기본적으로 오픈소스라 백도어를 만들래도 쉽지 않지만 반대로 너무 신경을 안쓰기도 애매한… 양날의 칼이죠.