Ich möchte ein aktuelles Paket von einem PPA verwenden. Wie stelle ich sicher, dass der PPA-Betreuer keinen Schadcode in die dort bereitgestellte Version eingefügt hat?
Akzeptierte Antwort:
- Installieren Sie die
devscripts
Paket. - Gehen Sie zur PPA-Seite und suchen Sie die Quellpaketdateien, die mit dem Paket verknüpft sind, an dem Sie interessiert sind. Suchen Sie dasjenige mit der Endung
.dsc
. - Führen Sie den Befehl
dget url_of_dsc_file
. Dadurch wird der zum Erstellen des Pakets verwendete Quellcode in ein Verzeichnis heruntergeladen und entpackt. Benennen Sie dieses Verzeichnis inppa
um . - Besorgen Sie sich den ursprünglichen Quellcode, um das PPA damit zu vergleichen. Dies könnte der Original-Tarball der Originalautoren von der Projekt-Website sein, der der von Ihnen verwendeten Version entspricht, oder vielleicht die neueste offizielle Ubuntu-Version des Pakets (Sie finden einen Link zu letzterer
.dsc
vonhttps://launchpad.net/ubuntu/+source/source_package_name
). Laden Sie dies herunter und entpacken Sie es, und benennen Sie dieses Verzeichnis dann inupstream
um , mitdget
von einer.dsc
herunterzuladen bei Bedarf. - Vergleichen Sie nun den
upstream
undppa
Verzeichnisse, um zu sehen, ob böswillige Änderungen inppa
eingeführt wurden die imupstream
nicht vorhanden waren . Sie könnten dafür meld verwenden, einen grafischen Diff-Viewer.apt-get install meld
, und führen Sie dannmeld upstream ppa
aus . Es zeigt Ihnen, welche Dateien neu, geändert oder entfernt wurden, und Sie können auf eine Datei doppelklicken, um detaillierte Änderungen in einem einfach zu überprüfenden Format anzuzeigen.
Da PPAs von der Quelle auf der Infrastruktur von Canonical erstellt werden, können Sie darauf vertrauen, dass die Binärdatei, die Sie von der PPA installiert haben, mit der Quelle übereinstimmt, die Sie wie oben überprüfen, vorausgesetzt, Sie vertrauen Canonical. Dies sollte akzeptabel sein, da Sie Canonical von vornherein vertrauen, Ubuntu zu erstellen.