如何识别有害的 AUR 包

Question

如何识别通过 yaourt 在 arch linux 上安装的软件包是否对我的电脑有害？我在 wiki 中读到我应该检查我用你的每一个安装。但是我到底需要检查什么以及如何识别恶意包？

Answer 1

如果不对代码进行广泛的审计并“从外部”观察它的运行情况，例如使用虚拟机，您就不能，并非如此。没有万无一失的方法可以找到恶意包，当然也没有相对容易绕过的自动化方法。有些事情你可以现实地做，但没有一个是灵丹妙药：

下载软件包，解压（不要安装！）并对解压后的文件运行病毒检查。这可以找到一些众所周知的问题，但不是有针对性的或自定义的黑客。
在使用之前，将它安装在虚拟机上并检查它没有做任何“可疑”的事情，例如触摸它不应该的文件、与外部服务器通信、自行启动守护进程等等。当然，它可能会定时做这样的事情，例如在运行 X 小时之后，如果不仔细检查代码，你就不可能知道。Rootkit 检测器可以自动执行其中的一些操作。
在受限环境中安装。SELinux、chroot jail、虚拟机、单独断开连接的机器和许多其他东西都可能包含不同类型的有问题的软件，从普通恶意软件到恶意软件。
有价值的（但不是秘密的）数据可以放置在单独的服务器上，对不受信任的机器具有只读访问权限。
秘密数据应该放在不受信任的机器无法访问的机器上。任何通信都应通过可移动媒体进行手动复制。

最后，唯一安全的软件是没有软件。您确定需要安装不信任的软件吗？没有众所周知的、值得信赖的替代方案吗？

没有人能告诉你该相信谁。没有人知道该相信谁。您所能做的就是根据您自己的经验、您信任的人的建议、软件包的受欢迎程度或您认为足够的任何其他启发式方法做出判断。 (4认同)
我不确定是否相信@l0b0 的建议。 (2认同)