人们经常劝阻用户不要使用 PPA,因为 PPA 可能包含可能破坏系统的库和软件包。我从 2010 年开始使用 PPA,从未遇到过问题(当然,在添加 PPA 之前,我会检查它是否托管任何可疑软件包)。
通常,开发人员制作 PPA 是为了帮助其他人安装软件,而不是为了破坏他们的系统。此外,软件包需要进行数字签名,这样就可以追溯到打包可疑软件的人。
我想知道“PPA 有害”是否是许多人面临的共同问题,或者它只是人们传播的一种流行信念(没有太多证据)。
我想问一些事实(这样问题就不会变成“基于观点的”)。
- 到目前为止,有没有恶意的 PPA?所谓恶意,我指的是故意打包以创建依赖地狱的东西,或者会使用
/安装后脚本弄乱主目录或目录的东西,或者破坏安装的东西。
(由于该问题由于基于观点而被关闭,因此我正在寻找此类有害 PPA 的例子,以便可以用事实来回答)。
- 用户有什么方法可以报告 Launchpad 中可能有害的 PPA?
我所说的 PPA 是指托管在 Launchpad 中的 PPA,而不是任何第三方存储库托管于任何网站。
答案1
这是 Ubuntu 转向基于 snap 的安装的主要原因之一:PPA 对我们的系统具有 root 访问权限,因此对于 PPA 来说,信任度很高。唯一安全的存储库是官方的一和它们的镜像。
PPA 可以包含替换现有软件包的软件包。如果您希望用最新的 Chromium 替换旧的 Chromium,这其实不是什么问题。但当它替换 Python、Ruby、Perl 或 libc 等库时,就成了问题。
到目前为止 Launchpad 中是否存在任何恶意 PPA?
不可以。有一个让 PPA 在 Launchpad 上被接受的过程,但在 Launchpad 上,PPA 的所有者也是公开的,因此尝试在 PPA 中嵌入恶意代码可能不是一个好主意。
请注意,恶意软件编写者可能想赚点快钱,而通过 PPA 来针对 Linux 用户则需要创建一个足够好安装的新软件。这需要数周甚至数年才能完成。针对 Windows 用户似乎更容易(更容易接触,而且 Windows 用户还有很多)。
用户有什么方法可以报告潜在的恶意 PPA?
与 Launchpad 相关的所有事物一样:您针对它提交错误报告。
答案2
如果你发现恶意 PPA,首选的举报方式是通过我们的支持追踪器。