Sou muito novo em fazer do Ubuntu meu sistema operacional de driver diário. Minha pergunta é como determinar se um aplicativo foi baixado de uma fonte confiável usando comandos apt? Não tenho certeza de onde encontrar informações sobre pacotes e como verificar os autores desses pacotes. O pacote que já instalei usa uma API para uma unidade e é reconhecido por uma unidade como editor não verificado. Dito isto, muitas pessoas elogiaram este aplicativo que foi instalado pelo comando apt sem adicionar repositórios adicionais para pesquisa.
Até agora, um amigo me mencionou que os repositórios prontos para uso são bastante bem organizados. Eu simplesmente não deveria adicionar mais repositórios para pesquisar se quiser manter um ambiente completamente seguro. Obrigado por qualquer informação que esta comunidade possa me fornecer e desculpe por fazer tal pergunta, mas não tinha certeza de quem recorrer para obter mais informações.
Vamos trabalhar a montante para ver de onde vem esse software.
Primeiro, vamos pedir ao apt algumas informações básicas:
A seguir, vamos verificar os bugs relatados para o pacote Ubuntu: https://bugs.launchpad.net/ubuntu/+source/onedrive
Resultado: Apenas dois bugs relatados, nenhum dos quais parece ser uma preocupação de segurança.
Agora vamos subir para o Debian: https://tracker.debian.org/pkg/onedrive
Resultado: muita ação do mantenedor. Novos uploads, testes, backports. Não são necessárias ações sérias. Todos estes são bons sinais.
E vamos dar uma olhada na lista de bugs do Debian: https://bugs.debian.org/cgi-bin/pkgreport.cgi?dist=unstable;package=onedrive
Resultado. Poucos bugs relatados, nenhum parece ser uma preocupação de segurança.
Finalmente, vamos subir e dar uma olhada no projeto fonte no GitHub: https://github.com/abraunegg/onedrive
Resultado: Projeto ativo, muitos colaboradores, novos trabalhos sendo adicionados, 16 "problemas" (bugs) relatados que parecem bastante típicos.
Portanto, o resultado é que este software vem de um projeto upstream aparentemente saudável, é mantido ativamente no Debian e (aparentemente) não possui bugs relacionados à segurança relatados em qualquer nível.
Isso é o mais "seguro" possível para software de código aberto.
Seu amigo está certo. Contanto que você instale aplicativos oficiais dos repositórios oficiais que acompanham o sistema operacional, é quase certo que você estará baixando software seguro e legítimo. Não adicione repositórios aleatórios sem um bom motivo e pesquise sobre esses repositórios antes de adicioná-los.