AURでは、PKGBUILDファイルを手動で確認してスクリプトをインストールする必要があります。
実際に何をすべきですか/どうすればよいですか?注意すべき危険信号は何ですか?合法的なソフトウェアパッケージが実行する「通常の」一般的なタスクは何ですか?
私が見たパッケージは通常、いくつかのスクリプトまたはアーカイブをダウンロードしてからコンテンツを実行します。 PKGBUILD自体は何の問題もないようですが、何百ものファイルを含むアーカイブをカールしてから実行します。ほとんどのAURツールには、PKGBUILDやインストールスクリプト以外のものを表示する方法がなく、ユーザーはそれに基づいて決定を下すことを期待しています。ダウンロードしたファイルを見つけて、数時間(または数日)にわたってすべてのコードを読んでから(私のプログラミング知識を超えている可能性があります)、戻ってAURパッケージをインストールすることに「決定」する必要がありますか?
答え1
PKGBUILDは単にbashスクリプトです。読みやすいように設計されています。
アーチウィキ各種機能ガイド、そしてそれぞれで確認すべき内容。
特に機能prepareやinstall機能に奇妙な変化がある場合は、慎重に調査する必要があります。関連し$HOMEている、$PATHまたは疑わしく、完全に調査する必要があるファイルまたはインストールを削除してください。
これには以下が含まれます有効なPGPキーダウンロードしたソースコードが有効であることを確認するための整合性チェックサム。これらのいずれかが失敗した場合、Makepkgは警告を表示します。これは進行しないでください。
また、読むことができますアーチ包装標準PKGBUILDを作成する方法を学びます。
実際のアップストリームソースに関しては、それが有効であると仮定すると、それはあなただけができる呼び出しです。マルウェアはどこにいても、信頼できるユーザーはAURがマルウェアを獲得するのを効果的に防ぎます。他のソースでPKGBUILDを使用している場合は、自分で解決する必要があります。
しかもパッカーエラーにより破損したPKGBUILDこれは悲惨な結果につながる可能性があります。したがって、実行する前に、その項目についてできるだけ多く読んでおくことをお勧めします。