人们经常不鼓励用户使用 PPA,因为 PPA 可能包含可能破坏系统的库和包。自 2010 年以来我一直在使用 PPA,从未遇到过问题(当然,我会在添加 PPA 之前检查是否托管任何可疑包)。
通常,开发人员制作 PPA 是为了帮助他人安装软件,而不是破坏他们的系统。此外,包裹需要进行数字签名,这样就可以追溯包裹可疑物品的人。
我想知道“PPA 有害”是否是许多人面临的普遍问题,还是人们传播的普遍信念(没有太多证据)。
我想问一些事实(这样问题就不会变成“基于意见的”)。
- 到目前为止是否有任何恶意 PPA?恶意,我的意思是故意打包以创建依赖地狱的东西,或者会用 postinstall 脚本弄乱主目录或
/目录的东西,或者破坏安装的东西。
(由于基于意见的问题已关闭,因此我正在寻找此类有害 PPA 的示例,以便可以用事实来回答)。
- 用户有什么方法可以在 Launchpad 中报告可能有害的 PPA?
PPA 是指托管在 Launchpad 中的 PPA,而不是托管在任何网站上的任何第三方存储库。
这是 Ubuntu 转向基于 snap 的安装的主要原因之一:PPA 对我们的系统具有 root 访问权限,因此对于 PPA 的信任度很高。唯一安全的存储库是官方存储库及其镜像。
PPA 可以包含替换现有包的包。如果您想用最新的铬代替旧的铬,这并不是什么大问题。但它是在它替换 python、ruby、perl 或 libc 之类的库时。
不可以。在 Launchpad 上有一个流程可以让 PPA 被接受,但在 Launchpad 上,PPA 的所有者也是公开的,因此尝试使用恶意代码泄露 PPA 可能不是一个好主意。
请注意,恶意软件编写者可能希望轻松赚取一些现金,并且通过 PPA 来针对 Linux 用户进行操作将需要创建一个足以安装的新软件。这需要数周甚至数年才能完成。似乎更容易定位 Windows 用户(更容易接触,而且还有更多)。
与 Launchpad 相关的所有事情一样:您针对它提交错误报告。
如果您发现恶意 PPA,报告它的首选方式是通过我们的支持跟踪器。