主要问题:
在什么时候我可以信任外部的非官方存储库?盲目地将第三方存储库添加到工作站是否会产生安全隐患?然而,我一直非常可疑包括非官方存储库。
背景和我的具体情况:
我想安装一个朱塞据我所知,这是一个独立的实用程序,用于托管 VST(用于音乐制作的虚拟乐器)。我发现它似乎github 上的源代码并尝试在一次性 VM 中编译它。然而,在安装时收到错误(我稍后可能会在这里或 github 上开一张票),我很好奇是否有人为 Ubuntu 打包了它。
答案1
有几个问题:
- 默认情况下,任何 repo 都可以覆盖任何包。 你可以固定 repo 以仅允许某些软件包但这无济于事,因为......
- 那些包可以在任何地方写入文件。他们必须不覆盖任何现有文件,但有很多地方可以隐藏恶意文件,更不用说……
- 软件包可以以 root 身份运行任何内容安装和拆卸。
所以是的,如果你不能信任存储库的控制者(或者不相信他们正在审查进入存储库的代码),你就不应该使用该存储库。恶意包就完蛋了。