Làm cách nào để điều tra / xác nhận danh tính của người bảo trì PPA (ví dụ: Nhóm Chromium)?

8

PPA ổn định Chromium (như được tìm thấy ở đây: ppa: chromium-hàng ngày / ổn định) được duy trì bởi Nhóm Chromium (https://launchpad.net/~chromium-team). Tôi cho rằng đây là nhà phát triển Chromium "của Google"? Nếu vậy, tôi sẽ cho rằng PPA này rất an toàn và đáng tin cậy.

Nhưng có một quy trình hoặc phương pháp điều tra cụ thể mà tôi nên / có thể làm để xác nhận danh tính của người bảo trì không? Theo tôi hiểu (hoặc ít nhất là đã đọc), bất kỳ ai cũng có thể tạo PPA "Nhóm Chromium". Để đảm bảo an toàn và bảo mật, tôi muốn tìm hiểu cách xác nhận danh tính của những người bảo trì PPA, đặc biệt là những người bảo trì "tên tuổi" như Google hay Mozilla.

ppa  security  packaging  software-sources  community 
Sam
nguồn

Câu trả lời:

4

"Nhóm Chromium" trong Launchpad là các nhà phát triển Ubuntu, không phải nhà phát triển Google (ngoại trừ một người, làm việc trên Chromium tại Google). Bạn có thể thấy điều này bằng cách xem thành viên của nhóm:

Cách bạn sẽ xác định xem các nhà bảo trì ngược dòng có hoạt động trong một nhóm hay không là để xem bạn có nhận ra tên (hoặc địa chỉ email) hay không. Đối với các dự án lớn như Mozilla và Chrome nơi các nhà phát triển Ubuntu làm việc với công việc ngược dòng nói chung, tôi tin tưởng họ.

Ví dụ: nhóm điều hành Firefox PPA là cùng một nhóm duy trì Firefox trong bản phân phối và nhóm duy trì Chromium PPA cũng là nhóm duy trì Chromium trong bản phân phối.

Thực sự không có cách nào để xác định mức độ "đáng tin cậy" của PPA như thế nào (đó là lý do tại sao hầu hết mọi người thường sẽ khuyên bạn không nên tin tưởng họ theo mặc định). Hiện tại không có cách nào thực sự để bạn biết PPA "chính thức" như thế nào trừ khi nó được đề cập rõ ràng bởi một người thượng lưu là đáng tin cậy (xem cách XBMC đề xuất PPA trong liên kết đó) hoặc bạn nhận ra những người trong nhóm. Trong Nguồn mở vì mọi thứ được thực hiện trong sự tin tưởng mở là thứ mà mọi người kiếm được dựa trên hành vi. Ví dụ: tôi tin tưởng ai đó làm việc tại Mozilla để viết trình duyệt của mình và tôi tin tưởng ai đó là nhà phát triển Ubuntu sẽ đóng gói đúng cách vì cả hai tổ chức đều có mô hình đánh giá ngang hàng.

PPA cá nhân là một vấn đề khác, không có gì đảm bảo rằng họ sẽ không phá vỡ bất cứ điều gì, nhưng điều đó không có nghĩa là mọi người đều tự động xấu. Chris nói về điều này một chút về bảo mật PPA trong câu trả lời này:

Jorge Castro
nguồn
Vì vậy, về cơ bản, trừ khi tôi biết tên xuất hiện trong "Thành viên" là đáng tin cậy, tôi không bao giờ có thể chắc chắn PPA an toàn? Thưa ông, sự khác biệt giữa Chromium PPA và vũ trụ của Chromium là gì? Tôi cho rằng repo vũ trụ của Chromium cũng được duy trì bởi các nhà phát triển Ubuntu?
Sam
Vì vậy, về cơ bản, trừ khi tôi biết các tên xuất hiện trong "Thành viên" là đáng tin cậy, tôi không bao giờ có thể chắc chắn PPA an toàn - đúng, nhưng áp dụng tương tự cho tất cả các phần mềm được cài đặt từ Internet. Bạn không biết rằng mọi tên trong danh sách bảo trì Ubuntu cũng đáng tin.
@Sam Tôi đã cập nhật câu trả lời của mình, Hãy hỏi về sự khác biệt giữa Chromium từ PPA và vũ trụ như một câu hỏi mới.
Jorge Castro
@Sam: Tôi tin rằng câu hỏi của bạn không được trả lời một cách thích hợp, vì vậy tôi sẽ giải quyết. Nói chung nếu bạn biết nhóm đóng gói và đã tin tưởng họ, thì đó là cách nhanh nhất. Tôi cũng muốn đề cập, YMAK chúng tôi trong cộng đồng thực hiện mọi thứ theo cách 'Miễn phí' ... hoặc ít nhất là cách 'Mở' ... Bạn luôn có tùy chọn xem lại mã. Launchpad yêu cầu tất cả các nguồn được tải lên đã ký, sau đó nó sẽ xác minh từ khóa gpg được cung cấp trước đó. Vì vậy, bạn có thể chắc chắn gói nguồn được tạo ban đầu, giống với gói bạn tải xuống.
JM Becker
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.