Czy korzystanie z repozytorium AUR jest bezpieczne?

[kenpo]

Pytanie jak w temacie. Czy każdy może sobie tam wrzucić co chce? Osoby wrzucające paczki używają nicknames, więc trudno się zorientować kto to i czy można mu ufać.

Ktoś może wrzucić parę paczek prawidłowych a potem jakiś malware albo program ze zmienionym kodem. Przecież nikt nie sprawdza kodu wszystkich programów linijka po linijce. Nie znam się na tym, dlatego proszę o wyjaśnienie.

Repozytorium community jest obsługiwane przez Trusted Users i można mu ufać, tak?

Dotychczas korzystałem z Kubuntu i PPA, ale tylko z oficjalnych, gdzie wiadomo kto za tym stoi.

W sumie to nawet dziwi mnie, że nie ma po prostu systemu zgłoszeń / zamówień na programy, który byłby obsługiwany przez osoby tworzące daną dystrybucję lub osoby do tego oficjalnie upoważnione. Czytałem, że można głosować na te paczki w AUR żeby przechodziły do oficjalnego repo i w sumie na tym mogliby poprzestać.

[pavbaranov]

1. Tak, nie istnieje żaden proces weryfikacyjny dla osoby, która chciałaby zostać twórcą PKGBUILDów w AUR.
2. Zwykle osoby, które używają nicków w Archu, używają ich w sposób stały i "systemowy" (tj. dla całego Archa). Sprawdzić możesz choćby poprzez to ile i jakich paczek ktoś ma w AUR. Zwykle po pewnym czasie dość dokładnie można się zorientować kto stoi za danym PKBUILDem i ile warta jego praca.
3. Używam Archa od kilku lat - nie słyszałem o tym, by w tym czasie ktoś wrzucił coś do AUR, co byłoby szkodliwe. Fakt, są tam złe PKGBUILDy, zrobione niezgodnie z wytycznymi Archa, są takie, które się nie budują, są niedostosowane do obecnego "stanu" Archa.
4. Aczkolwiek nie istnieje proces wstępnej weryfikacji, to istnieje proces zgłaszania paczek w AUR do usunięcia. Biorąc pod uwagę, że z AUR winny korzystać wyłącznie osoby, które wiedzą co robią (choć wiem, że to stan idealny), to jakiś PKGBUILD z malware raczej by został szybko wykluczony.
5. Paczki w AUR mają również osoby spośród DEV i TU Archa - tym można ufać.
6. Community jest obsługiwane przez zespół Archa (TU). Można mu zaufać.
7. Tak w AUR jest od groma oprogramowania ze zmienionym kodem. Ot, choćby niemalże każdy kernel jaki się tam znajduje jest właśnie przykładem oprogramowania ze zmienionym kodem. Wszak brane są źródła z kernel.org, na które są nakładane patche jak np. BFQ, UKSM, PDS itd.... Samo w sobie istnienie paczek, które zmieniają kod oryginalny nie jest złe.
8. Tak, nie można ufać bezgranicznie temu co w AUR jest. Dlatego trzeba odrzucać wszelkie aurhelpery, przeglądać PKGBUILDy. Tu wszystko jest czarno na białym. Masz napisane co jest, skąd, masz opisany proces budowy i pakowania. Masz w znakomitej większości przypadków sumy kontrolne itd. Arch to dystrybucja dla co najmniej średnio zaawansowanych użytkowników linuksa, którzy z przeglądnięciem PKGBUILDu, jego oceną, nie powinni mieć problemu.
8. Pewną podpowiedzią może być popularność jakiejś paczki. Skoro pobierana była wiele razy, nikt się nie skarży - to raczej można jej w większym stopniu zaufać.
9. Drugą podpowiedź możesz znaleźć w komentarzach.

Na koniec jednak kubeł (a może nawet dwa) zimnej wody. AUR nie jest odpowiednikiem PPA. W żadnym przypadku. To raczej zbiór "skryptów", które instruują makepkg o tym skąd mają zostać pobrane źródła, co ma z nimi zostać zrobione, jak mają zostać skompilowane oraz jak ma zostać zbudowana paczka, którą instalujesz w systemie. Ba, przed jej instalacją też jesteś ją w stanie w pewien sposób sprawdzić.
Drugi kubeł - w Archu jest obecnie ponad 10tys paczek. Co chcesz instalować z AUR? Albo co musisz instalować z AUR i czy na pewno musisz? Skoro w Kubuntu instalowałeś paczki tylko z "oficjalnych" PPA (czyli jak rozumiem wyłącznie pod opieką osób odpowiedzialnych za Kubuntu), to co takiego chcesz doinstalowywać z AUR?

Oprócz wszystkiego innego - są fora, jak np. oficjalny BBS Archa, czy polskie forum Archa, gdzie możesz również uzyskać pewnego rodzaju odpowiedzi. W zasadzie częściej podpowiedzi Niemniej jednak raczej bym nie liczył na to, że kogoś z forum zarzucisz setką PKGBUILDów do przeglądnięcia i ktoś temu poświęci swój czas. Prędzej otrzymasz "instrukcję obsługi" jak z takim PKGBUILDem postępować (choć są już takie w necie dostępne).

[kenpo]

Dziękuję za tak wyczerpującą odpowiedź.

Na przykład Chromium, Spotify, Opera, Krita, QuiteRSS nie ma w głównym repo Arch. 

Myślałem o przesiadce na dystrybucję rolling i spróbowaniu Manjaro albo Antegrosa, więc wolałem się wcześniej zorientować w sytuacji. Chętnie sobie przetestuję.

[1709]

W razie "w" masz https://www.youtube.com/watch?v=UAFGukpEIJw
Aczkolwiek wydaje mi sie ze nowa wersja ISO pyta jaki sterownik zainstalowac.

Zreszta pierw zawsze mozesz przetestowac na virtualboxie.
A potem ewentualnie zmienic dystrybucje.

[pavbaranov]

Dziękuję za tak wyczerpującą odpowiedź.

Na przykład Chromium, Spotify, Opera, Krita, QuiteRSS nie ma w głównym repo Arch. 

Myślałem o przesiadce na dystrybucję rolling i spróbowaniu Manjaro albo Antegrosa, więc wolałem się wcześniej zorientować w sytuacji. Chętnie sobie przetestuję.

Z całym szacunkiem bzdury opowiadasz:
Chromium - https://www.archlinux.org/packages/extra/x86_64/chromium/
Opera - https://www.archlinux.org/packages/community/x86_64/opera/
Krita - https://www.archlinux.org/packages/extra/x86_64/krita/ (a w testing już 4.0.0)
Spośród wymienionych przez Ciebie jedynie nie ma Spotify oraz QuiteRSS, z czego pierwszego w ogóle zdaje się nie będzie.
Jak widzisz - nie jest tak źle.
Nadto - jeśli używałeś spotify w Kubuntu, to paczka w AUR (https://aur.archlinux.org/packages/spotify) jest prawdopodobnie dokładnie taką samą jak ta, której używałeś w tej dystrybucji.
W przypadku QuiteRSS jej opiekun ma pod sobą 100 różnych PKGBUILDów w AUR, jest dostępny na IRCu Archa... Sam PKGBUILD jest praktycznie wzorowy.

Pytasz o Archowe AUR, a chcesz się przesiadać na Antergosa lub Manjaro (wbrew pozorom między tymi dwiema jest spora różnica), z czego o ile korzystanie z AUR w Antergosie ma jakiś sens, to w Manjaro żadnego (i mówię to z całą stanowczością i wiem, że zaraz się zbiegną obrońcy manjarowego pingwina).

PS: Pomijając, że po przesiadce z... Kubuntu na Archa (via Chakra i Manjaro) w istocie odetchnąłem z ulgą, to nie jestem do końca przekonany, czy nie powinieneś się zorientować też w Neonie. Można rzec, że to takie quasi rolling (choć osobiście bawię się w odniesieniu do niego sformułowaniem lazy rolling). Świat Neona będzie Ci jednak bliższy i - nie mam tu jednak wiedzy z codziennego używania - mniej wymagający w stosunku do Ciebie.

PS2: Ze względu na rozpowszechnienie paczek binarnych w formacie deb - wg mnie - istnieje o niebo większe prawdopodobieństwo, że zainstaluje się jakiegoś podłego bloba z takiej paczki w debianowatych niż, że ktoś w PKGBUILDzie podeślie jakiś syf. To jednak moje osobiste zdanie.

PS3: I sorry za OPTop - jeśli w istocie myślisz o przejściu na Archa, a obawiasz się, że nie podołasz instalacji, to zamiast Antergosa spróbuj sobie Anarchy. Daje zdecydowanie lepszą kontrolę nad instalacją od tego pierwszego. I jeszcze - jeśli myślałeś o korzystaniu z Antergosa w sesjach Waylandowych, to obecnie nazywa się to zapomnij. Przynajmniej OTB (tzn. trzeba dokonać tam kilku zmian i działa, ale pierwszego uruchomienia tak nie zrobisz).

[kenpo]

Okazało się, że nie umiałem korzystać z tej wyszukiwarki pakietów arch, bo zaznaczyłem tylko "any" i wpisałem nazwę programu, myśląc, że "any" obejmie całą bazę. Ale skoro jest lepiej niż myślałem, to się cieszę. Zabieram się za testowanie.

[pavbaranov]

"any" oznacza jedynie "architekturę". x86-64 = 64bitowa (Arch już nie wspiera 32bitów, aczkolwiek jest i taki fork). Any=niezależna od architektury (np. fonty, wystroje i kupa innych).
Jak już będziesz miał, to jest fajne GUI do wyszukiwania paczek - pkgbrowser. Szuka w repozytoriach (nie tylko Archa, ale w zdefiniowanych w pacman.conf, a są tzw. 3-rd parties repository), a także w AUR.