git-lfs文档只建议使用 packagecloud,但现在有一个基础apt包,如引用的https://askubuntu.com/a/1418540/431220。
问题是:作为消费者,我如何知道这个apt软件包是否可以安全使用,而不是依赖 packagecloud 解决方案,坦率地说(对我而言)这比它糟糕 10 倍,因为我确实不是想要处理手动包管理。
答案1
包装系统具有很高的透明度,因此您可以学习如何亲自检查这些小细节。
逆向思考:
Ubuntu 存储库中的每个包都经过加密签名,并且 apt 会定期检查该签名以防止中间人攻击。
Ubuntu 存储库中的软件包来自上游 Debian 源软件包。(参见apt show git-lfs)
Debian 软件包由一个团队维护,并且多年来一直由同一个人上传。(参见https://tracker.debian.org/pkg/git-lfs)
所以,这实际上是一个问题,即您是否信任多年来一直(不求回报地)维护同一个软件包的志愿者。这和您之前的问题是一样的:您是否信任该软件的开发人员?
要真正深入,您可以在任何阶段审核代码,从开发人员到 Debian 再到 Ubuntu(它是开源的)。您想深入到什么程度取决于您自己。代码和流程的透明度都在那里。
答案2
你看了嗎?
你的问题对我来说已经比较清楚了;而且你也没有提供释放(因此我用了自己的),但查看包裹详细信息可以提供一定程度的安全性
https://packages.ubuntu.com/mantic/git-lfs
该页面向我提供了详细信息,包括原始维护者更多(不仅仅是 MOTU)
它告诉我这是一个社区支持的软件包(因此可以在 中找到universe),提供指向变更日志这实际上证实了我提供的第一页中的详细信息(即主要由 Debian 维护)
我能走多远取决于 如何安全我想成为 Debian 上游的探索者西德,然后回到它的源头,查看过去的变化以及它们有多有规律,特别是在更上游发生的后续变化等等。
某事物的安全性非常重要主观我能走多远取决于紧张的是的,而且安全性对于我的预期用途有多重要。