Chromium 稳定 PPA(可在此处找到:ppa:chromium-daily/stable)由 Chromium 团队 (https://launchpad.net/~chromium-team) 维护。我猜这是“Google 的”Chromium 开发人员?如果是这样,我会认为这个 PPA 非常安全且值得信赖。
但是,是否有特定的程序或调查方法,我应该/可以这样做来确认维护者的身份?据我了解(或至少读过),任何人都可以创建“Chromium 团队”PPA。为了安全起见,我想学习如何确认 PPA 维护者的身份,尤其是像 Google 或 Mozilla 这样的“大牌”维护者。
答案1
Launchpad 中的“Chromium 团队”是 Ubuntu 开发人员,而不是 Google 开发人员(除了一位在 Google 从事 Chromium 工作的开发人员)。您可以通过查看团队的成员身份来了解这一点:
判断上游维护者是否活跃于团队的方法是看你是否认识他们的名字(或电子邮件地址)。对于 Mozilla 和 Chrome 等大型项目,Ubuntu 开发人员与各自的上游合作,一般来说,我信任他们。
例如,运行 Firefox PPA 的团队与维护发行版中的 Firefox 的团队是同一个团队,维护 Chromium PPA 的团队与维护发行版中的 Chromium 的团队也是同一个团队。
实际上,没有办法一目了然地确定 PPA 的“可信度”(这就是为什么大多数人通常建议默认不信任它们)。目前,除非有明确提及,否则你无法真正知道 PPA 的“官方”程度上游值得信赖(请参阅该链接中 XBMC 如何推荐 PPA)或者您认可团队中的人员。在开源中,由于一切都是在开放的环境中完成的,因此信任是人们基于行为赢得的东西。例如,我信任在 Mozilla 工作的人来编写我的浏览器,我信任 Ubuntu 开发人员来正确打包它,因为这两个组织都有同行评审模型。
单个 PPA 则是另一回事,虽然不能保证它们不会破坏任何东西,但这并不意味着每个 PPA 都是坏的。Chris 在本回答中谈到了 PPA 安全性: