Arch Community Packはウイルスやマルウェアから安全ですか?

Arch Community Packはウイルスやマルウェアから安全ですか?

私はLinuxエコシステムに初めて触れ、使用された用語について少し混乱しました。しかし、私がWindowsからLinuxディストリビューションに切り替えたのは、Web上で必要なソフトウェアを見つけることなく、ソフトウェアをダウンロードしてインストールできる統合パッケージマネージャを提供するためです。私が現在使っているディストリビューションはUbuntu 20.04.2.0ですが、大丈夫です。しかし、彼らが提供するパッケージは少し古く、少なくともLTSバージョンのソフトウェアを提供しても文句を言わないでしょう。そこで最近、ローリングリリースであるArchとManjaroに触れましたが、最新バージョンとLTSバージョンのソフトウェアを提供するので興味があります。ギイ。ただし、私が使用するほとんどのソフトウェアがコミュニティリポジトリ(Node JS、Dotnet Core、gh)にあるので少し心配です。以下はArchドキュメントの引用です。

コミュニティには、信頼できるユーザーがArchユーザーストアで採用したパッケージが含まれています。これらのパッケージのいくつかは、開発者が展開に重要であると考えているため、最終的にコアまたはボーナスリポジトリに切り替えることができます。

「信頼できるユーザー」(それらを尊重する)は、AURから「コミュニティストア」としてパッケージを選択すると述べています。いくつかのオンラインフォーラムや記事でAURを使用すると、不必要なことが起こり、コンピュータがウイルスやマルウェアに感染する可能性があるため、使用を避けるのが良い習慣であることを学びました。もう一度言いますが、私はLinuxの世界に初めて入門し、Arch Linuxとその派生製品についてはまったく知りません。もしそうなら、コミュニティリポジトリのパッケージを使用するのが安全かどうか疑問に思います。 「信頼できるユーザー」(コミュニティストア管理者)は、コミュニティストアに変換されたAURの有効性とセキュリティを確認しますか?

答え1

はい、Archlinuxの「信頼できるユーザー」を信頼でき、通常は評判の良いデプロイメントマネージャを信頼できます。そうでない場合は、ソフトウェアを直接コンパイルできます(ただし、この場合はソフトウェア開発者を信頼する必要があります)。私は、ディストリビューション開発者が意図的にパブリックリポジトリにマルウェアを広める状況についてはよくわかりません。

Archlinuxの「信頼できるユーザー」について。彼らは単にAURからコミュニティリポジトリにパッケージをランダムに移動するプロのユーザーではありません。彼らは選出され、AURパッケージがレビューされます。選択されたら、コミュニティリポジトリにパッケージを追加するなど、特別な権限が付与されます。したがって、デフォルトでは、Archlinuxには2種類の開発者がいます。コア/追加リポジトリを「管理」するコア開発者と、コミュニティリポジトリとAURパッケージスクリプトを管理する信頼できるユーザー。

また、AURからコミュニティリポジトリに移動するパッケージはあまりありません。これは通常、誰かが信頼できるユーザーとして選出されたときに発生します。彼は自分が使用しているAURパッケージの一部をコミュニティリポジトリに移動できます。何十ものランダムAURスクリプトが毎日コミュニティリポジトリに移動すると思うなら、それは本当ではありません。

要約すると、コミュニティストレージパッケージを信頼できます。デフォルトでは、AURパッケージ(PKGBUILDスクリプト)はすべてのユーザーがアップロードできるため、「信頼」してはいけません。

答え2

Arch Community Packはウイルスやマルウェアから安全ですか?

いいえ!だからなぜダメ:

ほとんどのパッケージはソースソースでコンパイルされるか、他のディストリビューションで使用および抽出/再パッケージされているため、複雑なビルドスクリプト、githubからダウンロード、パッチ... 内容全体を読むと他のパッケージについてはわかりません。スクリプト、パッチ、ソースファイル。

したがって、AURスクリプトがきれいであっても、他のソースからのコンテンツが汚染される可能性があります。

しかし、私は過去10年間にそのような問題について読んだことがありません。

関連情報