人们通常不鼓励用户使用 PPA,因为 PPA 可能包含可能破坏系统的库和包。我从 2010 年开始使用 PPA,从未遇到过问题(当然,我会在添加之前检查 PPA 是否托管了任何可疑包)。
通常开发人员制作 PPA 是为了帮助其他人安装软件,而不是破坏他们的系统。另外,包裹需要经过数字签名,这样可以追溯到打包可疑物品的人。
我想知道“PPA 有害”是否是许多人面临的常见问题,还是人们传播的流行观念(没有太多证据)。
我想问一些事实(这样问题就不会变成“基于意见的”)。
/用 postinstall 脚本弄乱主目录或目录的东西,或者破坏安装的东西。(由于问题因基于意见而被关闭,我正在寻找此类有害 PPA 的示例,以便可以用事实来回答)。
通过PPA,我指的是一个PPA在Launchpad中托管,没有任何第三方库托管在任何网站。
这是 Ubuntu 转向基于 snap 安装的主要原因之一:PPA 具有对我们系统的 root 访问权限,因此当涉及到 PPA 时,信任度很高。唯一安全的存储库是官方的和它们的镜像。
PPA 可以包含替换现有包的包。如果你想要最新的铬来代替旧的铬,这不是一个真正的问题。但它是在替换 python、ruby、perl 或 libc 之类的库时。
到目前为止,Launchpad 中是否存在任何恶意 PPA?
不可以。有一个过程可以让 Launchpad 接受 PPA,但在 Launchpad 上,PPA 的所有者也是公开的,因此尝试使用恶意代码隐藏 PPA 可能不是一个好主意。
请注意,恶意软件编写者可能想赚取一些轻松的现金,并且通过 PPA 来实现目标 Linux 用户将需要创建一个足以安装的新软件。这需要数周甚至数年才能完成。似乎更容易定位 Windows 用户(更容易接触到,而且还有更多)。
用户是否可以通过任何方式报告潜在的恶意 PPA?
与 Launchpad 相关的所有内容一样:您针对它提交错误报告。
| 归档时间: |
|
| 查看次数: |
305 次 |
| 最近记录: |