Sam*_*Sam 8 community security packaging ppa software-sources
Chromium Stable PPA(可在此处找到:ppa:chromium-daily/stable)由 Chromium 团队 (https://launchpad.net/~chromium-team) 维护。我认为这是“Google 的”Chromium 开发人员?如果是这样,我会认为这个 PPA 非常安全和值得信赖。
但是是否有特定的程序或调查方法我应该/可以做来确认维护者的身份?据我了解(或至少读过),任何人都可以创建“Chromium Team”PPA。为了安全和保障,我想学习如何确认 PPA 维护者的身份,尤其是像 Google 或 Mozilla 这样的“大牌”维护者。
Launchpad 中的“Chromium 团队”是 Ubuntu 开发人员,而不是 Google 开发人员(除了一位在 Google 从事 Chromium 工作的开发人员)。您可以通过查看团队成员来了解这一点:
确定上游维护者在团队中是否活跃的方法是查看您是否认识姓名(或电子邮件地址)。对于像 Mozilla 和 Chrome 这样的大型项目,Ubuntu 开发人员与各自的上游合作,一般来说我信任他们。
例如,运行 Firefox PPA 的团队与在发行版中维护 Firefox 的团队是同一团队,而维护 Chromium PPA 的团队也是在发行版中维护 Chromium 的同一团队。
实际上没有办法一眼就能确定 PPA 的“可信度”(这就是为什么大多数人通常建议默认情况下不要信任它们)。目前,您没有真正的方法可以了解 PPA 的“官方”程度,除非上游明确提及该 PPA值得信赖(请参阅 XBMC 如何在该链接中推荐 PPA)或者您认识团队中的人员。在开源中,由于一切都是在开放的信任中完成的,因此人们根据行为赢得了信任。例如,我信任在 Mozilla 工作的人来编写我的浏览器,并且我信任 Ubuntu 开发人员来正确打包它,因为这两个组织都有同行评审的模型。
单独的 PPA 是另一回事,不能保证它们不会破坏任何东西,但这并不意味着每个 PPA 都会自动损坏。Chris 在这个答案中谈论了一些关于 PPA 安全性的内容:
| 归档时间: |
|
| 查看次数: |
356 次 |
| 最近记录: |