我来自 Debian GNU/Linux,它拥有丰富的存储库。所以我几乎不需要使用第三方存储库。
Fedora 中令我困扰的是需要一些难以编译的软件包(就时间和依赖链而言),这使得使用 RPM Fusion 等第三方存储库安装它们更加合理。
我担心的是RPM Fusion 软件包是否值得信赖且安装安全?
我所说的“值得信赖”是指安全和隐私不会被篡改以包含恶意代码或行为。或者有人检查上游代码以确保其安全吗?
我习惯于使用像这样的存储库SlackBuilds和尿素尿率您可以检查构建脚本并查看正在发生的情况(正在下载等)。
是否有可能证明 RPM Fusion 包是在没有被操纵的情况下构建的? 例如:有一个构建脚本和一个 CI CD 负责构建可信任的包。
还有另一个(有点)类似的未回答的问题:Fedora 第三方存储库 RPMFusion 的安全性
答案1
RPM Fusion 软件包是否值得信赖且安装安全?
我所说的“值得信赖”是指安全和隐私不会被篡改以包含恶意代码或行为。或者有人检查上游代码以确保其安全吗?
就篡改而言,有两个方面需要考虑。首先是可安装的二进制文件和源代码之间的关系;请参阅下面的详细信息。维护者无法上传自己的二进制文件,所有二进制文件都来自构建基础设施。这就引出了第二个方面,就是构建的基础设施是否值得信赖;对此没有简单的答案。基础设施使用浩二但外部人员无法检查构建基础设施上运行的内容!
至于检查上游代码,这取决于维护人员。
是否有可能证明 RPM Fusion 包是在没有被操纵的情况下构建的?
构建不是可重现的一般来说,但您可以检查包构建脚本RPM Fusion git 存储库,并跟踪每个构建浩二。个人构建(例如 这个 gstreamer 插件构建)显示它们是从哪个 git 哈希构建的,并提供所有构建日志和工件;因此,您可以尝试在本地重现每个步骤,并将您的结果与已发布的工件进行比较。