"ils devraient fournir les sources" : si personne ne relit, ça ne servira pas contre ce problème, et d'ailleurs c'est un logiciel libre qui est utilisé pour y glisser le cryptominer
"ils ne devraient fournir que du libre" : ici ça ne changerait rien non plus
"mais alors c'est pareil pour le dépôt Ubuntu?" non tout le monde ne peut pas uploader n'importe quoi dans ce dépôt contrairement aux snaps ici
=> bref il faut avoir les sources, des gens qui les relisent (licences OK, pas de malware, etc.), un build reproductible (pas encore disponible à 100% chez Debian/Ubuntu), une distribution des paquets fiables (signatures, etc.), et aussi une équipe sécurité pour gérer les failles connues (et si possible plein d'utilisateurs pour remonter les soucis)
Sauf erreur de ma part, c'est le même risque pour les ppa qui sont fournis par n'importe qui. Comme c'est des binaires, impossible de savoir ce qu'il y a dedans.
Concernant les paquets Arch Aur, on peut vérifier les sources et les PKGBUILD sont transparents.
Les ppas c'est également risqué mais on peut parfaitement récupérer les paquets source. Il suffit d'avoir une ligne deb-src dans le fichier des sources.
Exact, et tout paquet n'est pas fiable. C'est pour cette raison qu'ils sont signés dans les distributions dignes de confiance. Les créateurs de ppa sont simplement invités à "signer un code de bonne conduite". Cela laisse rêveur…
# commentaires
Posté par Benoît Sibaud (site Web personnel) . Évalué à 10.
Les premiers commentaire me laissent perplexes :
=> bref il faut avoir les sources, des gens qui les relisent (licences OK, pas de malware, etc.), un build reproductible (pas encore disponible à 100% chez Debian/Ubuntu), une distribution des paquets fiables (signatures, etc.), et aussi une équipe sécurité pour gérer les failles connues (et si possible plein d'utilisateurs pour remonter les soucis)
# PPA et Arch Aur
Posté par Maderios . Évalué à 3.
Sauf erreur de ma part, c'est le même risque pour les ppa qui sont fournis par n'importe qui. Comme c'est des binaires, impossible de savoir ce qu'il y a dedans.
Concernant les paquets Arch Aur, on peut vérifier les sources et les PKGBUILD sont transparents.
[^] # Re: PPA et Arch Aur
Posté par Bruno . Évalué à 2.
Les ppas c'est également risqué mais on peut parfaitement récupérer les paquets source. Il suffit d'avoir une ligne deb-src dans le fichier des sources.
[^] # Re: PPA et Arch Aur
Posté par Maderios . Évalué à 2.
Oui mais les sources, ce sont les sources, pas les ppa que l'utilisateur installe…
[^] # Re: PPA et Arch Aur
Posté par Bruno . Évalué à 2.
Comme tout paquet non ? J'ai l'impression que tu ne sais pas comment fonctionne un dépôt ppa.
[^] # Re: PPA et Arch Aur
Posté par Maderios . Évalué à 1.
Exact, et tout paquet n'est pas fiable. C'est pour cette raison qu'ils sont signés dans les distributions dignes de confiance. Les créateurs de ppa sont simplement invités à "signer un code de bonne conduite". Cela laisse rêveur…
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.