I PPA sono sicuri da aggiungere al mio sistema e quali sono alcune "bandiere rosse" a cui prestare attenzione?

Vedo molti programmi interessanti là fuori che possono essere ottenuti solo aggiungendo un "PPA" al sistema ma, se ho capito bene, dovremmo rimanere nei "repository" ufficiali per aggiungere software al nostro sistema.

C'è un modo per un principiante di sapere se un "PPA" è sicuro o se dovrebbe essere evitato? Quali consigli l'utente dovrebbe sapere quando ha a che fare con un PPA ?.

PPA ( Personal Package Archive ) vengono utilizzati per includere un software specifico per Ubuntu, Kubuntu o qualsiasi altra distribuzione compatibile con PPA. La " sicurezza " di un PPA dipende principalmente da 3 cose:

1. Chi ha creato il PPA - Un PPA ufficiale di WINE o LibreOffice come ppa: libreoffice / ppa e un PPA che ho creato da me non sono gli stessi. Non mi conosci come manutentore di PPA, quindi il problema di fiducia e sicurezza è MOLTO basso per me (dal momento che avrei potuto creare un pacchetto danneggiato, un pacchetto incompatibile o qualsiasi altra cosa cattiva), ma per LibreOffice e il PPA che offrono nel loro sito Web , CHE fornisce una certa rete di sicurezza. Quindi, a seconda di chi ha realizzato il PPA, per quanto tempo ha realizzato e mantenuto il PPA influenzerà un po 'la sicurezza del PPA per te. I PPA come menzionato sopra nei commenti non sono certificati da Canonical.

2. Quanti utenti hanno utilizzato il PPA - Ad esempio, ho un PPA da http://winehq.org nel mio PPA personale. Ti fideresti di ME con 10 utenti che confermano l'uso del mio PPA con 6 di loro che dicono che fa schifo rispetto a quello che Scott Ritchie offre come ppa: ubuntu-wine / ppa nel sito ufficiale di winehq. Ha migliaia di utenti (incluso me) che usano il suo PPA e si fidano del suo lavoro. Questo lavoro ha molti anni alle spalle.

3. Quanto è aggiornato il PPA - Supponiamo che tu stia utilizzando Ubuntu 10.04 o 10.10 e che desideri utilizzare quel PPA speciale. Scopri che l'ultimo aggiornamento a quel PPA è stato 20 anni fa .. Oo Le possibilità che hai di usare quel PPA sono nulle. Perché?. Poiché le dipendenze dei pacchetti di cui ha bisogno PPA sono molto vecchie e forse quelle aggiornate cambiano così tanto codice che non funzioneranno con il PPA e potrebbero rompere il sistema se si installa uno dei pacchetti di quel PPA sul proprio sistema.

   In che modo un PPA aggiornato influenza la decisione di utilizzarlo se desidera utilizzare quel PPA. Altrimenti preferirebbero cercarne un altro più aggiornato. Non vuoi Banshee 0.1 o Wine 0.0.0.1 o OpenOffice 0.1 Beta Alpha Omega Thundercat Edition con l'ultima Ubuntu. Quello che vuoi è un PPA che viene aggiornato al tuo attuale Ubuntu. Ricorda che un PPA menziona per cosa è fatta la versione di Ubuntu o per cui sono state create più versioni di Ubuntu.

   A titolo di esempio, ecco un'immagine delle versioni supportate in Wine PPA:

   

   Qui puoi vedere che questo PPA è supportato dai Dinosauri.

   Una cosa MALE di quanto sia aggiornato un PPA, se il manutentore PPA tende a spingere nel PPA la versione più recente, più grande e all'avanguardia di un pacchetto specifico. Il lato negativo di questo è che se hai intenzione di testare l'ultimo di qualcosa, troverai alcuni bug. Prova a rimanere con PPA che vengono aggiornati a una versione stabile e non a una versione instabile, test o dev poiché potrebbe / conterrà bug. L'idea di avere le ultime è anche di TEST e dire quali problemi sono stati trovati e risolverli. Un esempio di questo sono i PPA Xorg giornalieri e i PPA Mozilla giornalieri. Riceverai circa 3 aggiornamenti giornalieri per X.org o Firefox se ricevi i quotidiani. Ciò è dovuto al lavoro svolto e se si utilizzano i loro PPA giornalieri significa che si desidera aiutare con la ricerca o lo sviluppo di bug e NON per un ambiente di produzione.

Fondamentalmente attenersi a questo 3 e sarai al sicuro. Cerca sempre il produttore / manutentore del PPA. Verifica sempre se molti utenti lo hanno utilizzato e verifica sempre l'aggiornamento del PPA. Luoghi come OMGUbuntu , Phoronix , Slashdot , The H , WebUp8 e persino qui in AskUbuntu sono buone fonti per trovare molti utenti e articoli di cui parlare e raccomandare alcuni PPA che hanno testato.

Esempi PPA stabili - LibreOffice, OpenOffice, Banshee, Wine, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb, VLC sono buoni e sicuri PPA della mia esperienza.

PPA semi stabile - X-Swat PPA è un PPA medio tra il bordo sanguinante e stabile.

Bleeding Edge PPA - Xorg-Edgers è un Bleeding Edge PPA anche se dovrei ricordare che dopo il 12.04, questo PPA è diventato sempre più stabile. Lo contrassegnerei comunque come spigolo vivo ma è abbastanza stabile per gli utenti finali.

PPA selezionabile - Il freno a mano offre qui un modo per l'utente di scegliere, vuoi una versione stabile o vuoi la versione con spigolo vivo (nota anche come Snapshot). In questo caso è possibile selezionare ciò che si desidera utilizzare.

Si noti che nel caso in cui si usi ad esempio l'X-Swat ppa con l'Xorg-Edgers PPA, si otterrà un mix tra i due (con priorità verso Xorg-Edgers). Questo perché entrambi stanno cercando di includere quasi gli stessi pacchetti, quindi si sovrascriveranno a vicenda e solo quello più aggiornato verrà mostrato nei tuoi repository (tranne se gli dici manualmente di prendere il pacchetto da X-Swat).

Alcuni PPA potrebbero aggiornare alcuni dei tuoi pacchetti quando li aggiungi al tuo repository perché sovrascriveranno con la loro versione un determinato pacchetto per far funzionare correttamente il software PPA sul tuo sistema. Potrebbe trattarsi di alcuni pacchetti di codice, versioni di Python, ecc. Altri come LibreOffice PPA rimuoveranno tutta l'esistenza di OpenOffice dal sistema per installare lì i pacchetti LibreOffice. Fondamentalmente leggi ciò che altri utenti hanno commentato su un pacchetto specifico e leggi anche se il pacchetto è compatibile con la tua versione di Ubuntu.

Come suggerisce il commento qui sotto di Jeremy Bicha, alcuni margini sanguinanti (PPA che rimangono molto aggiornati tra cui l'aggiunta di software di qualità Alpha, Beta o RC nel PPA) potrebbero potenzialmente danneggiare l'intero sistema (nel peggiore dei casi). Jeremy menziona un esempio di molti.

Per sviluppare PPA su launchpad, il collaboratore deve aver firmato il codice di condotta di Ubuntu . Ciò significa che lo sviluppatore deve rispettare un set minimo di standard.

Di solito le persone dovrebbero quindi consultare gli ubuntuforum per vedere chi ha usato particolari ppa e se potrebbero causare problemi.

Per un "principiante" o "noob" - il mio miglior consiglio è di evitare PPA fino a quando non ti senti sicuro di aver compreso alcune cose sulla riga di comando, potenziali messaggi di errore e alcune cose su come diagnosticare i problemi.

Per rimuovere i problemi che causano ppa, puoi usare il più delle volte " ppa_purge "

Se ti senti nervoso, considera un backup di immagine del tuo computer con uno strumento come clonezilla . In questo modo, se le cose vanno male e non riesci a risolverlo, almeno hai un mezzo rapido per ripristinare il computer com'era prima di iniziare a giocare.

Detto questo, i ppa sono estremamente utili per ottenere le ultime versioni del software, specialmente per quelli che non provano ad aggiornare ogni 6 mesi e si attaccano alla versione LTS di Ubuntu.

Non è solo una questione di malware, come è già stato detto. Inoltre, alcuni software potrebbero essere ancora in fase di test e non essere pronti per l'uso in produzione. Se lo installi e fai affidamento su di esso per portare a termine il lavoro, potresti scoprire che è difettoso, inaffidabile e può bloccarsi, lasciandoti senza il lavoro che hai svolto.

Alcuni potrebbero anche non andare d'accordo con altri aspetti di Ubuntu, come Unity o Gnome, causando problemi che sono difficili da rintracciare e forse persino rendendo instabile il sistema.

Ciò non è dovuto al fatto che il software è dannoso, ma perché forse non è stato ancora completamente testato, o perché è stato reso disponibile in modo che le persone possano testarlo, ma non è ancora destinato a essere rilasciato come software di produzione. Quindi dovresti usare cautela, anche se alcuni sono davvero abbastanza buoni.

Un certo numero di mesi fa ho installato un pacchetto consigliato da un particolare PPA e il mio sistema è stato cestinato abbastanza da dover reinstallare Ubuntu. Ero un nuovo utente e non sapevo cos'altro fare; con un po 'più di conoscenza avrei potuto risolvere il problema e ripristinarlo senza fare una reinstallazione (anche se anche questo mi è stato utile nell'apprendimento di Ubuntu, ma se avessi lavorato salvato sulla mia macchina lo avrei perso) .

Quindi fai attenzione, fai domande, fai backup frequenti (!!!) e sappi che il malware è improbabile (anche se non impossibile).

Tutte le preoccupazioni elencate da altri qui sono estremamente importanti da capire. Detto questo, poiché si tratta di open source, possiamo dire esattamente cosa è cambiato il PPA dalla versione del pacchetto in Ubuntu. Useremo il PPA da questo duplicato come esempio.

Per prima cosa prenderemo il sorgente dal PPA dgetuno strumento che scaricherà tutti i pezzi di un pacchetto sorgente Debian dato un link al dscfile:

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

Ho trovato quel link facendo clic su "Visualizza i dettagli del pacchetto":

E poi:

Successivamente, avremo la fonte del pacchetto nell'archivio Ubuntu:

apt-get source unity

Infine, useremo debdiffper vedere le differenze tra l'origine dei due pacchetti:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

L'output di quel comando è lungo circa trecento righe, quindi lo inserirò su un pastebin anziché direttamente nella finestra. Ora, non posso garantire quanto sia buono il codice poiché non conosco davvero C ++, ma sembra che stia facendo ciò che afferma e non qualcosa di dannoso.

Una PPA è una cartella Web che contiene software che è possibile installare. In realtà non è molto più complicato di così. Quando installi un pacchetto, lo fai con i privilegi di root e il pacchetto ha degli script che vengono eseguiti, quindi vengono eseguiti come root. Ciò significa che l'installazione di qualsiasi software è pericolosa e devi fidarti dello sviluppatore o del distributore.

Un archivio apt, PPA o altro, viene regolarmente sottoposto a polling per gli aggiornamenti del software installato. Il "problema" è che chiunque può fornire un nuovo pacchetto di software che hai installato. Ad esempio, puoi aggiungere un PPA per ottenere un bel tema e aggiornamenti automatici di quel tema. Ma una volta aggiunto quel repository, il proprietario può aggiungere un pacchetto openssh-server con patch, per esempio, e apparirà come un aggiornamento in Ubuntu. Questo può essere fatto un anno dopo aver aggiunto il PPA, quindi è necessario prestare attenzione agli aggiornamenti.

Il sistema PPA impedisce a terzi di manomettere i pacchetti, quindi, se ti fidi dello sviluppatore / distributore, i PPA sono molto sicuri. Ad esempio, se installi Google Chrome, aggiungono un PPA in modo da ricevere aggiornamenti automatici. Aggiungono "deb http://dl.google.com/linux/chrome/deb/ stable main". Se il server DNS che hai utilizzato è stato violato per indicare dl.google.com da qualche altra parte, allora potrebbe spingere il software patchato su tutti coloro che hanno installato Chrome. Ma Ubuntu rifiuterebbe di installarli poiché non potevano essere firmati con la chiave privata di Google. Pertanto, a tale proposito, i PPA sono molto sicuri.

Non è possibile dire che un PPA sia sicuro o meno. Dipende dalle persone che lo usano per distribuire il software. Con il software gratuito, le persone possono guardare la fonte e vedere se è sicura o no. Quando molte persone usano un archivio, come gli archivi regolari di Ubuntu, hai una revisione tra pari. I piccoli archivi con pochi utenti non lo hanno, quindi sono meno affidabili. La lezione principale è che, indipendentemente dal sistema utilizzato, è necessario prestare attenzione durante l'installazione del software.

Basandosi sulla risposta di Luis Alvarado , dovresti essere consapevole di questi rischi:

• Pacchetti dannosi: i pacchetti potrebbero tentare di danneggiarti. Questo è facile per loro perché possono eseguire qualsiasi codice con privilegi di amministratore.
• Software di scarsa qualità o incompatibile: un'applicazione potrebbe non funzionare correttamente. Potrebbe causare danni accidentali, ad esempio interferendo con altri software, distruggendo i tuoi dati o perdendo informazioni private.

e dovresti essere attento a questi fattori:

• Onestà del manutentore: il manutentore potrebbe provare segretamente a farti del male?
• Sicurezza del manutentore: il manutentore è vulnerabile agli attacchi di terzi?
• Affidabilità del manutentore: il manutentore risponderà alla necessità di aggiornamenti entro un termine ragionevole? Si impegnano a mantenere l'APP a lungo termine?
• Sicurezza del repository : i pacchetti sono firmati dal manutentore?
• Prestazioni del software: il software è privo di bug e compatibile con il tuo sistema?

I pacchetti su PPA non sono controllati per cose come malware. Quindi, mentre qualcuno potrebbe impacchettare qualcosa come XBMC per te, potrebbe anche aggiungere facilmente spyware / malware. Questo è il motivo per cui non dovresti semplicemente aggiungere un PPA casuale.

Quando aggiungi ppa e installi un programma attraverso di esso.

Fondamentalmente dai il permesso di risiedere quel programma nell'area consentita eseguibile (/ bin / / sbin / / usr / bin /).

Ora se il programma stesso è / ha in qualche modo un malware, il sistema non se ne lamenterà poiché sei tu che hai aggiunto ppa considerandolo affidabile.

Quando il programma proviene dai repository Ubuntu vengono prima controllati (vorrei dire a fondo ma non lo so: P), quindi quelli dei repository Ubuntu sono sicuramente privi di malware / spyware.

Per qualsiasi altro ppa spetta a te / utente decidere se fidarsi o no.