我对从 Universe 下载东西的安全性感到疑惑。Ubuntu 帮助页面似乎说社区可以对该存储库中的软件进行更新。这是否意味着任何人都可以进行更改,或者原始软件的维护者可以进行更改?
例如,Universe 中维护着一个 Discord 实例,那么任何人都可以编辑该实例吗?还是只有 Discord 开发人员可以编辑?还是我误解了整件事?
答案1
该存储库与“主”存储库或其他三个存储库一样安全。
上传特权很难获得(这本身就是一项成就),即使你是 MOTU(宇宙主宰者,https://wiki.ubuntu.com/MOTU)您仍然需要像任何其他 debian/ubuntu 存储库一样完成一些程序。有大量的 wiki 页面(例如https://wiki.ubuntu.com/UbuntuDevelopers比你链接的 wiki 页面更明确,后者也是一个社区页面),如果你知道德比安规则,大体上都是一样的。
其中很大一部分是声誉,开源软件几乎可以查看所做的一切;甚至讨论和会议也大多是公开的,并通过 IRC 日志记录。如果有人证明自己有资格获得 MOTU,一次错误的上传(与闭源软件不同,无法隐藏)将很快被发现(尽管在此之前应该在审查中被发现),多年来为获得 MOTU 所做的所有工作都将化为乌有,特权也将消失,声誉也将一落千丈。获得 MOTU 地位的值得信赖和尊重的人不想毁掉他们所有的工作/声誉。
在播客中,三位开发人员被问及如何创建一个愚人节笑话,而这个笑话只是一条持续几个小时的消息(debian-ubuntu/solus/elementary),Martin Wimpress(Ubuntu-MATE/debian)清楚地谈到了这一点(我最后一段是马丁 1-3 年前在播客上说过的一些话的复述)。三人都谈到了自己的声誉,并表示没有人能想象任何已经证明并获得这些权利的开发商会通过滥用来毁掉它。
如果您不信任它,所有上传都是公开的,您可以非常清楚地检查它们。由于我也在 IRC 房间,因此我可以在实际上传之前看到有关上传的各种讨论,因此可以实时查看。
是的,这涉及到信任,而我确实信任 MOTU,远远超过那些天生隐藏秘密的闭源开发者,他们让我们永远看不到他们在做什么,永远无法真正评估他们搞砸了多少事情等等。