Ventoyは人気のツールとして位置づけられている これにより、マルチブート ペンドライブを作成できるようになります。その目的は、ユーザーが複数の ISO ファイルをペンドライブにコピーし、それらを抽出または変更することなく直接起動できるようにすることです。
同じ開発者によって作成されたiVentoy Ventoyのネットワークブートソリューション(PXE)は、 ユーザーに可能性を提供する USBの使用をやめて代わりに PCをサーバーにする 物理メディアを接続する必要なく、他のコンピューターがローカル ネットワーク経由で ISO イメージを起動できるようになります。
現在、iVentoyは 状況が生み出した フリーソフトウェアコミュニティの懸念、 最近、不審な行動が検出されたため。
事件 Windowsのhttpdisk.sysドライバを置き換える必要がある ネットワークブートプロセス中に、 自己署名証明書をインストールすることに加えて オペレーティングシステムの証明書ストアに、 セキュリティ警告を引き起こした ウイルス対策ソリューションと無料エコシステムのさまざまな分野の批評家によって。
Ventoy は安全でない Windows カーネル ドライバーをインストールします
iVentoy https://github.com/ventoy/PXE/releases
iventoy-1.0.20-linux-free.tar.gz, iventoy-1.0.20-win32-free.zip, iventoy-1.0.20-win64-free.zip
これらの配布ファイルにはすべて「\data\iventoy.dat」が含まれており、iventoy アプリケーションはこれを RAM 内で「\data\iventoy.dat.xz」に復号化します。
疑惑と警戒
問題のファイルは、 httpdisk.sysはiVentoyメカニズムの一部です Windows インストール中に HTTP 経由でディスク イメージをマウントします。しかし、システムドライバを偽装したり証明書を操作したりすることで 必然的に不信感を生み出します。 ファイルのスキャンに使用された31のウイルス対策プログラムのうち、70が潜在的な脅威の存在について警告を発し、iVentoyに隠されたバックドアが含まれている可能性があるという認識を強めました。
この状況 安全保障に関する懸念が再燃した オペレーティングシステムの導入およびテスト環境で広く使用されているツールでは、 特にXZ Utilsスキャンダルを受けて正当な機能を装った悪意のあるコードも導入されました。 iVentoy が機能的に派生した Ventoy プロジェクトは、 以前は疑わしいバイナリBLOBを使用していると警告されていました ソースコード内にあります。
コミュニティの反応:代替案の模索
コミュニティはすぐに反応し、 まあ、 NixOS開発者例えば 彼らは、nixpkgsリポジトリのVentoyを置き換えることを提案した。 ユーザー fnr1r によって維持されているフォークがあり、一方で glim などの代替案を検討する可能性を指摘する声もありました。この不信感は、Ventoy と iVentoy が著作権と哲学を共有しているものの、相違点もあるという事実によるものです。Ventoy は完全にオープンで USB からのブートに重点を置いていますが、iVentoy は部分的にクローズドでネットワーク ブート (PXE) に重点を置いています。
著者はこう答える:約束された変化
責任ある開発者 両プロジェクトの 説明しながら議論に介入した 観察行動技術。彼によれば、 httpdisk.sysは、HTTP経由でリモートディスクをマウントするためのオープンソースドライバです。iVentoy の動作に必要なものです。 自己署名証明書を挿入することは、ドライバーが制限なくロードできるようにするための手段となるだろう WinPE (Windows プレインストール環境) 環境で実行され、ディスクにインストールされている Windows オペレーティング システムには影響しません。
iVentoy はクローズドソースのままとなります。
httpdisk.sys はオープン ソース ドライバーであり、安全であると言われています。
実際、iVentoy は PXE 経由で Windows を起動すると、WinPE をテスト モードで起動するため、ドライバー ファイルに署名する必要はありません。したがって、httpdisk_sig.sys は必要なく、後で削除できます。さらに、httpdisk ドライバーは、最終的な Windows システムではなく、WinPE の一時環境 (RAM で実行) にのみインストールされるため、ハード ドライブにインストールされる最終的な Windows システムには影響しません。
PXE はネットワークに依存しているため、http を使用してサーバーからクライアントに Windows インストール データを取得するには、httpdisk ドライバーが使用されます。
また、最終的な Windows システムにはインストールされません。
彼はまた、 この動作は文書化されており、証明書の使用は一時的なRAM環境に限定されています。。批判に対して直接的に反応して、 iVentoyのバージョン1.0.21では自己署名証明書のインストールがすでに停止されていると発表されました。。代わりに、Windows ドライバー開発キット (WDK) によって提供されるテスト署名である WDKTestCert が使用されます。また、プロジェクト ドキュメントには、httpdisk.sys の機能と、別個の製品としての Ventoy と iVentoy の違いを明確にする説明も追加されました。
プリコンパイルされたバイナリについて Ventoyに埋め込まれた、 著者は、これらは既存のオープンソース プロジェクトからのものであると明言しました。 変更せずにそのまま使用されます。しかし、ユーザーがソースコードから独自のバージョンをコンパイルすることを選択した場合、懸念は回避できる可能性があると彼は認めた。これは GitHub CI を通じて実行できる。
最後に、もっと詳しく知りたい場合は、 次のリンク。