• # commentaires

    Post√©¬†par¬† (site Web personnel) . √Čvalu√©¬†√†¬†10.

    Les premiers commentaire me laissent perplexes :

    • "ils devraient fournir les sources" : si personne ne relit, √ßa ne servira pas contre ce probl√®me, et d'ailleurs c'est un logiciel libre qui est utilis√© pour y glisser le cryptominer
    • "ils ne devraient fournir que du libre" : ici √ßa ne changerait rien non plus
    • "mais alors c'est pareil pour le d√©p√īt Ubuntu?" non tout le monde ne peut pas uploader n'importe quoi dans ce d√©p√īt contrairement aux snaps ici

    => bref il faut avoir les sources, des gens qui les relisent (licences OK, pas de malware, etc.), un build reproductible (pas encore disponible à 100% chez Debian/Ubuntu), une distribution des paquets fiables (signatures, etc.), et aussi une équipe sécurité pour gérer les failles connues (et si possible plein d'utilisateurs pour remonter les soucis)

  • # PPA et Arch Aur

    Post√©¬†par¬† . √Čvalu√©¬†√†¬†3.

    Sauf erreur de ma part, c'est le même risque pour les ppa qui sont fournis par n'importe qui. Comme c'est des binaires, impossible de savoir ce qu'il y a dedans.
    Concernant les paquets Arch Aur, on peut vérifier les sources et les PKGBUILD sont transparents.

    • [^] # Re: PPA et Arch Aur

      Post√©¬†par¬† . √Čvalu√©¬†√†¬†2.

      Les ppas c'est également risqué mais on peut parfaitement récupérer les paquets source. Il suffit d'avoir une ligne deb-src dans le fichier des sources.

      • [^] # Re: PPA et Arch Aur

        Post√©¬†par¬† . √Čvalu√©¬†√†¬†2.

        Oui mais les sources, ce sont les sources, pas les ppa que l'utilisateur installe…

        • [^] # Re: PPA et Arch Aur

          Post√©¬†par¬† . √Čvalu√©¬†√†¬†2.

          Comme tout paquet non¬†? J'ai l'impression que tu ne sais pas comment fonctionne un d√©p√īt ppa.

          • [^] # Re: PPA et Arch Aur

            Post√©¬†par¬† . √Čvalu√©¬†√†¬†1.

            Comme tout paquet non ?

            Exact, et tout paquet n'est pas fiable. C'est pour cette raison qu'ils sont signés dans les distributions dignes de confiance. Les créateurs de ppa sont simplement invités à "signer un code de bonne conduite". Cela laisse rêveur…

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.