RPM Fusionパッケージは信頼性が高く、インストールするのに安全ですか?

RPM Fusionパッケージは信頼性が高く、インストールするのに安全ですか?

私は豊富なリポジトリを持っているDebian GNU / Linuxから来ました。したがって、サードパーティのリポジトリを使用する必要はほとんどありません。

Fedoraで私を悩ませるのは、コンパイルが困難ないくつかのパッケージが必要であるということです(時間と依存関係のチェーンに関して)。これにより、RPM Fusion などのサードパーティ製リポジトリを使用してパッケージをインストールする方が合理的です。

気になることはRPM Fusionパッケージは信頼性が高く、インストールするのに安全ですか?

「信頼できる」というのは、マルウェアや行為を含むようにセキュリティと個人情報を改ざんできないということです。または、上流のコードが安全であることを確認する人はいますか?

私はこのようなリポジトリを使うのに慣れています。Slackビルドそして尿素尿の割合ビルドスクリプトを確認し、進捗状況(ダウンロードなど)を確認できます。

RPM Fusionパッケージが操作されずにビルドされたことを証明できますか? たとえば、信頼できるパッケージの構築を担当するビルドスクリプトとCI CDがあります。


答えがない別の(やや)同様の質問があります。Fedoraサードパーティ製ストレージRPMFusionのセキュリティ

答え1

RPM Fusionパッケージは信頼性が高く、インストールするのに安全ですか?

「信頼できる」というのは、マルウェアや行為を含むようにセキュリティと個人情報を改ざんできないということです。または、上流のコードが安全であることを確認する人はいますか?

変調に関して考慮すべき2つの側面がある。まず、インストール可能なバイナリとソースコードの関係です。詳しくは下記をご覧ください。メンテナは自分のバイナリをアップロードできず、すべてのバイナリはビルドインフラストラクチャから来ます。これは、構築中のインフラストラクチャが信頼できるかどうかに対する簡単な答えがない2番目の側面につながります。インフラ使用量コージーただし、外部の人はビルドインフラストラクチャで実行されている内容を確認できません。

アップストリームコードの確認は管理者によって異なります。

RPM Fusionパッケージが操作されずにビルドされたことを証明できますか?

ビルドではありません再生可能一般的に言えば、パッケージビルドスクリプトを確認できますRPM Fusion Gitリポジトリ、各ビルドを追跡します。コージー。プライベートビルド(例えば このgstreamerプラグインはビルドされます。)はビルドされたgitハッシュを表示し、すべてのビルドログとアーティファクトを提供するので、各ステップをローカルで再現し、結果を公開されたアーティファクトと比較できます。

関連情報