То же программное обеспечение в другом PPAs
У меня есть вопрос относительно наличия того же программного обеспечения в другом источнике PPAs.
Скажем, я добавляю PPA для получения программного обеспечения от некоторого dev. Позже, этот dev решает добавить к его PPA пользовательскую версию другого программного обеспечения, которое я, оказывается, уже имею на своем компьютере.
В следующий раз я делаю sudo apt-get upgrade, Я получу его пользовательскую версию, если она будет иметь число старшей версии, чем моя. Это - проблема, потому что код мог бы быть вредоносным или повредить мой рабочий процесс. В целом, это рассмотрели бы как налет PPA.
Объяснение этого на иностранном языке не легко для меня, таким образом, я выяснил, что схема могла помочь визуализировать проблему.
Есть ли какой-либо путь ко мне, как пользователь, для предотвращения обновлений получения от программного обеспечения, если источник PPA изменился начиная с последнего обновления / установка? Я знаю, что могу заморозить (или контакт) версию, но это означает, что я не получу обновления вообще (даже если это будет законное), таким образом, это действительно не решает эту проблему.
Я попытался отправить на/r/linux4noobs и осуществил кросспостинг на/r/linuxquestions, но я действительно не добирался, много отвечает.
По-моему, это, кажется, огромная проблема безопасности, и я удивлен, что она не упоминается больше. Я все еще довольно плохо знаком с Linux в общем tho, таким образом, я не мог бы понимать что-то здесь. Я являюсь непредубежденным и готовым понять как apt работы, поэтому не стесняйтесь указывать на что-либо, что я пропускаю!
Спасибо за будущие ответы.
1 ответ
Важно понять, что PPAs не предназначаются для доверяемого, широко распространенного распределения обновлений.
Доверяемое распределение обновлений должно обычно пробегать официальные репозитории Ubuntu. PPAs, в то время как размещено Каноническим как услуги общего пользования, не являются официальными репозиториями Ubuntu.
PPAs предназначаются для тестирования и ограниченного распределения, и они - важный элемент экосистемы разработки Ubuntu.
Однако их характер как самоподписанный свободный репозиторий означает, что PPAs может неправильно использоваться обоими пользователями и разработчиками. Это место проведения замусорено слезами людей, которые неправильно использовали PPAs как единственный источник или процедуру обновления.
Другими словами, Вы берете на себя риск при использовании PPAs.
При обнаружении разработчика, который использует PPA в качестве метода распределения, выпущенного (нетестирование) программное обеспечение, поощрите их вносить свое программное обеспечение в Debian, таким образом, это может иметь намного более широкое распределение, общественное тестирование и поддерживать и может быть обнаружено значительно большим количеством пользователей.
При использовании PPAs сверх релиза LTS Ubuntu для получения последнего программного обеспечения, то рассмотрите использование одного из "временных" (6-месячных) релизов Ubuntu вместо этого. Они так же стабильны, каждый выпуск обновляет Ваше все программное обеспечение программного стека, и это тестируется и поддерживается этим сообществом.