"ils devraient fournir les sources" : si personne ne relit, ça ne servira pas contre ce problème, et d'ailleurs c'est un logiciel libre qui est utilisé pour y glisser le cryptominer
"ils ne devraient fournir que du libre" : ici ça ne changerait rien non plus
"mais alors c'est pareil pour le dépôt Ubuntu?" non tout le monde ne peut pas uploader n'importe quoi dans ce dépôt contrairement aux snaps ici
=> bref il faut avoir les sources, des gens qui les relisent (licences OK, pas de malware, etc.), un build reproductible (pas encore disponible à 100% chez Debian/Ubuntu), une distribution des paquets fiables (signatures, etc.), et aussi une équipe sécurité pour gérer les failles connues (et si possible plein d'utilisateurs pour remonter les soucis)
Sauf erreur de ma part, c'est le même risque pour les ppa qui sont fournis par n'importe qui. Comme c'est des binaires, impossible de savoir ce qu'il y a dedans.
Concernant les paquets Arch Aur, on peut vérifier les sources et les PKGBUILD sont transparents.
Exact, et tout paquet n'est pas fiable. C'est pour cette raison qu'ils sont signés dans les distributions dignes de confiance. Les créateurs de ppa sont simplement invités à "signer un code de bonne conduite". Cela laisse rêveur…
# commentaires
Posté par Benoît Sibaud (site web personnel) . Évalué à 10.
Les premiers commentaire me laissent perplexes :
=> bref il faut avoir les sources, des gens qui les relisent (licences OK, pas de malware, etc.), un build reproductible (pas encore disponible à 100% chez Debian/Ubuntu), une distribution des paquets fiables (signatures, etc.), et aussi une équipe sécurité pour gérer les failles connues (et si possible plein d'utilisateurs pour remonter les soucis)
# PPA et Arch Aur
Posté par Maderios . Évalué à 3.
Sauf erreur de ma part, c'est le même risque pour les ppa qui sont fournis par n'importe qui. Comme c'est des binaires, impossible de savoir ce qu'il y a dedans.
Concernant les paquets Arch Aur, on peut vérifier les sources et les PKGBUILD sont transparents.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 2.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: PPA et Arch Aur
Posté par Maderios . Évalué à 2.
Oui mais les sources, ce sont les sources, pas les ppa que l'utilisateur installe…
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 2.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: PPA et Arch Aur
Posté par Maderios . Évalué à 1.
Exact, et tout paquet n'est pas fiable. C'est pour cette raison qu'ils sont signés dans les distributions dignes de confiance. Les créateurs de ppa sont simplement invités à "signer un code de bonne conduite". Cela laisse rêveur…
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.