Ich möchte ein aktuelles Paket von einem PPA verwenden. Wie stelle ich sicher, dass der PPA-Betreuer keinen Schadcode in die dort bereitgestellte Version eingefügt hat?
Akzeptierte Antwort:
- Installieren Sie die
devscriptsPaket. - Gehen Sie zur PPA-Seite und suchen Sie die Quellpaketdateien, die mit dem Paket verknüpft sind, an dem Sie interessiert sind. Suchen Sie dasjenige mit der Endung
.dsc. - Führen Sie den Befehl
dget url_of_dsc_file. Dadurch wird der zum Erstellen des Pakets verwendete Quellcode in ein Verzeichnis heruntergeladen und entpackt. Benennen Sie dieses Verzeichnis inppaum . - Besorgen Sie sich den ursprünglichen Quellcode, um das PPA damit zu vergleichen. Dies könnte der Original-Tarball der Originalautoren von der Projekt-Website sein, der der von Ihnen verwendeten Version entspricht, oder vielleicht die neueste offizielle Ubuntu-Version des Pakets (Sie finden einen Link zu letzterer
.dscvonhttps://launchpad.net/ubuntu/+source/source_package_name). Laden Sie dies herunter und entpacken Sie es, und benennen Sie dieses Verzeichnis dann inupstreamum , mitdgetvon einer.dscherunterzuladen bei Bedarf. - Vergleichen Sie nun den
upstreamundppaVerzeichnisse, um zu sehen, ob böswillige Änderungen inppaeingeführt wurden die imupstreamnicht vorhanden waren . Sie könnten dafür meld verwenden, einen grafischen Diff-Viewer.apt-get install meld, und führen Sie dannmeld upstream ppaaus . Es zeigt Ihnen, welche Dateien neu, geändert oder entfernt wurden, und Sie können auf eine Datei doppelklicken, um detaillierte Änderungen in einem einfach zu überprüfenden Format anzuzeigen.
Da PPAs von der Quelle auf der Infrastruktur von Canonical erstellt werden, können Sie darauf vertrauen, dass die Binärdatei, die Sie von der PPA installiert haben, mit der Quelle übereinstimmt, die Sie wie oben überprüfen, vorausgesetzt, Sie vertrauen Canonical. Dies sollte akzeptabel sein, da Sie Canonical von vornherein vertrauen, Ubuntu zu erstellen.