Come posso indagare / confermare l'identità di un manutentore di PPA (ad esempio, Chromium Team)?

8

Il Chromium Stable PPA (come si trova qui: ppa: chromium-daily / stable) è gestito da Chromium Team (https://launchpad.net/~chromium-team). Presumo che si tratti degli sviluppatori "Google" di Chromium? In tal caso, suppongo che questo PPA sia molto sicuro e affidabile.

Ma esiste una procedura o un metodo di indagine specifici che dovrei / posso fare per confermare l'identità del manutentore? A quanto ho capito (o almeno ho letto), chiunque può creare un PPA "Chromium Team". Per motivi di sicurezza, vorrei imparare a confermare l'identità dei manutentori di PPA, in particolare i manutentori di "grandi nomi" come Google o Mozilla.

ppa  security  packaging  software-sources  community 
Sam
fonte

Risposte:

4

Il "Chromium Team" in Launchpad sono sviluppatori Ubuntu, non sviluppatori Google (tranne uno, che lavora su Chromium su Google). Puoi vederlo guardando l'appartenenza al team:

Il modo in cui determineresti se i manutentori a monte sono attivi in ​​una squadra è vedere se riconosci i nomi (o gli indirizzi e-mail). Per i grandi progetti come Mozilla e Chrome in cui gli sviluppatori Ubuntu lavorano con i loro rispettivi upstream in generale, mi fido di loro.

Ad esempio, il team che esegue Firefox PPA è lo stesso team che gestisce Firefox nella distribuzione e anche il team che gestisce Chromium PPA è lo stesso team che gestisce Chromium nella distribuzione.

Non c'è davvero alcun modo per determinare quanto "affidabile" un PPA sia in difficoltà (motivo per cui la maggior parte delle persone di solito consiglia di non fidarsi di loro di default). Al momento non esiste un vero modo per sapere quanto sia "ufficiale" un PPA a meno che non sia esplicitamente menzionato da un upstream come affidabile (vedi come XBMC raccomanda un PPA in quel link) o riconosci le persone in un team. In Open Source poiché tutto è fatto nella fiducia aperta è qualcosa che viene guadagnato dalle persone in base al comportamento. Ad esempio, mi fido di qualcuno che lavora in Mozilla per scrivere il mio browser e mi fido di qualcuno che è uno sviluppatore Ubuntu per impacchettarlo correttamente poiché entrambe le organizzazioni hanno un modello di peer review.

I singoli PPA sono un'altra cosa, non c'è garanzia che non rompano nulla, ma ciò non significa che ognuno sia automaticamente cattivo. Chris ne parla un po 'della sicurezza PPA in questa risposta:

Jorge Castro
fonte
Quindi, essenzialmente, a meno che non conosca i nomi che appaiono nei "Membri" come affidabili, non posso mai essere sicuro che il PPA sia sicuro? Jorge, qual è la differenza tra il Chromium PPA e il repository Universe di Chromium? Suppongo che il repository Universo di Chromium sia gestito anche dagli sviluppatori Ubuntu?
Sam,
Quindi, essenzialmente, a meno che non conosca i nomi che appaiono nei "Membri" come affidabili, non posso mai essere sicuro che il PPA sia sicuro - vero, ma lo stesso vale per tutto il software installato da Internet. Non sai che ogni nome nell'elenco dei manutentori di Ubuntu è affidabile.
@Sam Ho aggiornato la mia risposta, sentiti libero di chiedere le differenze tra Chromium dal PPA e l'universo come una nuova domanda.
Jorge Castro,
@ Sam: credo che la tua domanda non abbia ricevuto una risposta adeguata, quindi mi prenderò una crepa. In generale, se conosci il gruppo di confezionamento e ti fidi già di lui, allora è il più veloce. Voglio anche menzionare, YMAK nella comunità facciamo le cose nel modo "gratuito" ... o almeno nel modo "aperto" ... Hai sempre la possibilità di rivedere tu stesso il codice. Launchpad richiede che tutte le fonti vengano caricate firmate, che quindi verifica da una chiave gpg precedentemente fornita. Quindi puoi essere sicuro che il pacchetto sorgente originariamente creato sia lo stesso pacchetto scaricato.
JM Becker,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.