• # commentaires

    Posté par (page perso) . Évalué à 10 (+7/-0).

    Les premiers commentaire me laissent perplexes :

    • "ils devraient fournir les sources" : si personne ne relit, ça ne servira pas contre ce problème, et d'ailleurs c'est un logiciel libre qui est utilisé pour y glisser le cryptominer
    • "ils ne devraient fournir que du libre" : ici ça ne changerait rien non plus
    • "mais alors c'est pareil pour le dépôt Ubuntu?" non tout le monde ne peut pas uploader n'importe quoi dans ce dépôt contrairement aux snaps ici

    => bref il faut avoir les sources, des gens qui les relisent (licences OK, pas de malware, etc.), un build reproductible (pas encore disponible à 100% chez Debian/Ubuntu), une distribution des paquets fiables (signatures, etc.), et aussi une équipe sécurité pour gérer les failles connues (et si possible plein d'utilisateurs pour remonter les soucis)

  • # PPA et Arch Aur

    Posté par . Évalué à 3 (+2/-0).

    Sauf erreur de ma part, c'est le même risque pour les ppa qui sont fournis par n'importe qui. Comme c'est des binaires, impossible de savoir ce qu'il y a dedans.
    Concernant les paquets Arch Aur, on peut vérifier les sources et les PKGBUILD sont transparents.

    • [^] # Re: PPA et Arch Aur

      Posté par . Évalué à 2 (+0/-0).

      Les ppas c'est également risqué mais on peut parfaitement récupérer les paquets source. Il suffit d'avoir une ligne deb-src dans le fichier des sources.

      • [^] # Re: PPA et Arch Aur

        Posté par . Évalué à 2 (+1/-0).

        Oui mais les sources, ce sont les sources, pas les ppa que l'utilisateur installe…

        • [^] # Re: PPA et Arch Aur

          Posté par . Évalué à 2 (+0/-0).

          Comme tout paquet non ? J'ai l'impression que tu ne sais pas comment fonctionne un dépôt ppa.

          • [^] # Re: PPA et Arch Aur

            Posté par . Évalué à 1 (+0/-0).

            Comme tout paquet non ?

            Exact, et tout paquet n'est pas fiable. C'est pour cette raison qu'ils sont signés dans les distributions dignes de confiance. Les créateurs de ppa sont simplement invités à "signer un code de bonne conduite". Cela laisse rêveur…

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.