Были ли до сих пор какие-либо вредоносные PPA?

Люди часто отговаривают пользователей от использования PPA, потому что PPA потенциально может содержать библиотеки и пакеты, которые могут нарушить работу системы. Я использую PPA с 2010 года и никогда не сталкивался с проблемой (конечно, я проверяю, есть ли в PPA какие-либо подозрительные пакеты, прежде чем добавлять его).

Обычно разработчики заключают PPA, чтобы помочь другим установить программное обеспечение, а не сломать их системы. Кроме того, пакеты должны иметь цифровую подпись, и таким образом можно будет отследить человека, который упаковал что-то подозрительное.

Мне интересно, является ли «PPA вредными» распространенной проблемой, с которой сталкиваются многие, или это распространенное мнение, которое распространяют люди (без особых доказательств).

Я хочу спросить о некоторых фактах (чтобы вопрос не стал «основанным на мнении»).

  1. Существовали ли до сих пор вредоносные PPA? Под злонамеренным я подразумеваю то, что намеренно упаковано, чтобы создать ад зависимостей, или что-то, что испортит домашний каталог или каталог / с помощью сценария postinstall, или что-то, что нарушило установку.

(Поскольку вопрос был закрыт из-за того, что он основан на мнении, я ищу примеры таких вредных PPA, чтобы на него можно было ответить фактами).

  1. Есть ли способ, которым пользователь может сообщить о потенциально опасном PPA в Launchpad?

Под PPA я имею в виду PPA, размещенный на Launchpad, а не какой-либо сторонний репозиторий, размещенный в любой веб-сайт.

3
задан 16 April 2021 в 18:10

1 ответ

Это одна из основных причин, по которой Ubuntu переходит к установке по оснастке: PPA имеет корневой доступ к нашей системе, поэтому, когда дело доходит до PPA, доверие к ней высокое. Единственными безопасными репозиториями являются официальные и их зеркала .

PPA может включать пакеты, которые заменяют существующие пакеты. На самом деле это не проблема, если вы хотите заменить новейший и старый хром. Но это происходит, когда он заменяет python, или рубин, или perl, или библиотеку типа libc.

Был ли до сих пор в Launchpad вредоносный PPA?

Нет. Есть процесс, чтобы PPA был принят в Launchpad, но в Launchpad владелец PPA также является публичным, так что, вероятно, не лучшая идея, чтобы попытаться подсунуть PPA с вредоносным кодом.

Помните, что вредоносные программы, вероятно, хотят заработать немного легких денег, и для того, чтобы сделать это через PPA для целевых пользователей Linux, потребуется создать новое программное обеспечение, которое будет достаточно хорошим для установки. Это займет недели или даже годы. Кажется, что легче нацелиться на пользователей Windows (легче достучаться до них, и их еще много).

Может ли пользователь сообщить о потенциально вредоносном PPA?

Как и во всех других случаях, связанных с Launchpad: вы создаете отчет об ошибке.

4
ответ дан 23 April 2021 в 23:26

Другие вопросы по тегам:

Похожие вопросы: