PPA ปลอดภัยที่จะเพิ่มลงในระบบของฉันหรือไม่และ "ธงสีแดง" ที่ต้องระวังมีอะไรบ้าง

ฉันเห็นโปรแกรมที่น่าสนใจมากมายที่สามารถทำได้โดยการเพิ่ม "PPA" ลงในระบบ แต่ถ้าฉันเข้าใจอย่างถูกต้องเราควรอยู่ใน "คลังเก็บ" อย่างเป็นทางการเพื่อเพิ่มซอฟต์แวร์ลงในระบบของเรา

มีวิธีใดที่สามเณรที่จะรู้ว่า "PPA" ปลอดภัยหรือควรหลีกเลี่ยง? ผู้ใช้ควรทราบเคล็ดลับอะไรบ้างเมื่อจัดการกับ PPA

PPA ( Personal Package Archive ) ใช้เพื่อรวมซอฟต์แวร์เฉพาะกับ Ubuntu, Kubuntu หรือ distro ที่รองรับ PPA อื่น ๆ ของคุณ " ความปลอดภัย " ของ PPA ขึ้นอยู่กับ 3 สิ่ง:

1. ใครเป็นคนทำ PPA - PPAอย่างเป็นทางการจาก WINE หรือ LibreOffice เช่นppa: libreoffice / ppaและ PPA ที่ฉันสร้างขึ้นเองนั้นไม่เหมือนกัน คุณไม่รู้จักฉันในฐานะผู้ดูแล PPA ดังนั้นปัญหาความน่าเชื่อถือและความปลอดภัยจึงต่ำมากสำหรับฉัน (เนื่องจากฉันอาจทำแพ็คเกจที่เสียหายแพ็คเกจที่เข้ากันไม่ได้หรือสิ่งอื่น ๆ ที่ไม่ดี) แต่สำหรับ LibreOffice และ PPA ที่พวกเขาเสนอในเว็บไซต์ นั่นให้ความปลอดภัยกับมัน ขึ้นอยู่กับว่าใครทำ PPA นานแค่ไหนที่เขาหรือเธอทำและรักษา PPA จะมีผลต่อความปลอดภัยของ PPA เล็กน้อยสำหรับคุณ PPA ดังกล่าวข้างต้นในความคิดเห็นไม่ได้รับการรับรองโดย Canonical

2. จำนวนผู้ใช้ PPA - ตัวอย่างเช่นฉันมี PPA จากhttp://winehq.orgใน PPA ส่วนตัวของฉัน คุณจะเชื่อใจฉันกับผู้ใช้ 10 คนที่ยืนยันการใช้ PPA ของฉันหรือไม่มี 6 คนที่บอกว่ามันแย่ไปกว่าข้อเสนอของ Scott Ritchie อย่างppa: ubuntu-wine / ppaในเว็บไซต์ทางการของ winehq มีผู้ใช้หลายพันคน (รวมถึงฉัน) ที่ใช้ PPA ของเขาและไว้วางใจงานของเขา นี่เป็นงานที่มีอยู่หลายปี

3. PPA ได้รับการปรับปรุงอย่างไร - ให้เราบอกว่าคุณใช้ Ubuntu 10.04 หรือ 10.10 และคุณต้องการใช้ PPA พิเศษนั้น คุณพบว่าการอัปเดตล่าสุดของ PPA นั้นเมื่อ 20 ปีที่แล้ว .. Oo โอกาสที่คุณจะใช้ PPA นั้นนั้นเป็นโมฆะ ทำไม?. เนื่องจากการพึ่งพาแพคเกจที่ PPA ต้องการนั้นเก่ามากและบางทีคนที่อัปเดตอาจเปลี่ยนรหัสมากจนพวกเขาไม่ทำงานกับ PPA และอาจทำลายระบบของคุณหากคุณติดตั้งแพ็คเกจใด ๆ ของ PPA นั้นกับระบบของคุณ

   PPA ที่ได้รับการอัปเดตมีผลต่อการตัดสินใจใช้งานอย่างไรหากเขา / เธอต้องการใช้ PPA นั้น ถ้าไม่พวกเขาจะไปหาอีกคนหนึ่งที่ทันสมัย คุณไม่ต้องการ Banshee 0.1 หรือ Wine 0.0.0.1 หรือ OpenOffice 0.1 Beta Alpha Omega Thundercat Edition กับ Ubuntu ล่าสุด สิ่งที่คุณต้องการคือ PPA ที่อัปเดตเป็น Ubuntu ปัจจุบันของคุณ โปรดจำไว้ว่า PPA กล่าวถึงรุ่นของ Ubuntu ที่ทำขึ้นหรือสร้าง Ubuntu หลายรุ่น

   ตัวอย่างของที่นี่คือภาพของรุ่นที่รองรับใน PPA ของไวน์:

   

   ที่นี่คุณจะเห็นว่า PPA นี้รองรับตั้งแต่ Dinosaurs

   สิ่งหนึ่งที่ไม่ดีเกี่ยวกับการปรับปรุง PPA คืออะไรถ้าผู้ดูแล PPA มีแนวโน้มที่จะผลักดัน PPA ให้เป็นแพคเกจเฉพาะรุ่นล่าสุดที่ยิ่งใหญ่ที่สุดและล้ำสมัยที่สุด ข้อเสียของเรื่องนี้คือถ้าคุณกำลังจะทดสอบสิ่งล่าสุดคุณจะพบข้อบกพร่องบางอย่าง ลองใช้ PPA ที่อัปเดตเป็นเวอร์ชั่นที่เสถียรและไม่ใช่เวอร์ชั่นที่ไม่เสถียรทดสอบหรือ dev เนื่องจากอาจมีข้อบกพร่อง แนวคิดของการมีล่าสุดคือการทดสอบและพูดว่าปัญหาที่พบและแก้ไขได้ ตัวอย่างของสิ่งนี้คือ PPAs Xorg รายวันและ PPAs ของ Mozilla รายวัน คุณจะได้รับการอัพเดต 3 ครั้งต่อวันสำหรับ X.org หรือ Firefox หากคุณได้รับ dailies นี่เป็นเพราะงานที่ใส่เข้าไปในนั้นและถ้าคุณใช้ PPAs ประจำวันนั่นหมายความว่าคุณต้องการช่วยในการล่าสัตว์หรือพัฒนาบั๊กและไม่ใช่สำหรับสภาพแวดล้อมการผลิต

โดยทั่วไปติดกับ 3 นี้และคุณจะปลอดภัย มองหาผู้ผลิต / ผู้ดูแลของ PPA เสมอ เสมอดูว่าผู้ใช้หลายคนได้ใช้และดูว่า PPA มีการปรับปรุง สถานที่เช่นOMGUbuntu , Phoronix , Slashdot , The H , WebUp8และแม้แต่ที่นี่ใน AskUbuntu เป็นแหล่งข้อมูลที่ดีในการค้นหาผู้ใช้และบทความจำนวนมากที่พูดถึงและแนะนำ PPA ที่พวกเขาทดสอบ

ตัวอย่าง PPA ที่เสถียร - LibreOffice, OpenOffice, Banshee, ไวน์, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb, VLC เป็น PPA ที่ดีและปลอดภัยจากประสบการณ์ของฉัน

PPA กึ่งเสถียร - X-Swat PPA เป็น PPA ตรงกลางระหว่างขอบเลือดออกและมั่นคง

Bleeding Edge PPA - Xorg-Edgers เป็น PPA edge ที่มีเลือดออกถึงแม้ว่าฉันควรพูดถึงว่าหลังจาก 12.04 PPA นี้จะมีเสถียรภาพมากขึ้นและมากขึ้น ฉันจะยังคงทำเครื่องหมายว่ามันเป็นขอบเลือดออก แต่มันมีความเสถียรเพียงพอสำหรับผู้ใช้

เลือก PPA - Handbrake มีที่นี่วิธีการที่ผู้ใช้สามารถเลือกให้ทำคุณต้องการรุ่นที่มีเสถียรภาพหรือคุณต้องการขอบเลือด (ยังเรียกว่า Snapshot) เวอร์ชั่น ในกรณีนี้คุณสามารถเลือกสิ่งที่คุณต้องการใช้

โปรดทราบว่าในกรณีที่ใช้ตัวอย่างเช่น X-Swat ppa กับ Xorg-Edgers PPA คุณจะได้รับการผสมระหว่างทั้งสอง (โดยมีลำดับความสำคัญต่อ Xorg-Edgers) นี่เป็นเพราะทั้งคู่พยายามที่จะรวมเกือบแพ็คเกจเดียวกันดังนั้นพวกเขาจึงจะเขียนทับกันและมีเพียงคนเดียวที่อัปเดตมากที่สุดเท่านั้นที่จะแสดงในที่เก็บของคุณ (ยกเว้นถ้าคุณบอกด้วยตนเองเพื่อคว้าแพ็คเกจจาก X-Swat)

PPA บางอย่างอาจอัปเดตแพ็กเกจของคุณเมื่อคุณเพิ่มไปยังที่เก็บของคุณเพราะพวกเขาจะเขียนทับแพคเกจบางอย่างเพื่อให้ซอฟต์แวร์ PPA ทำงานบนระบบของคุณอย่างถูกต้อง นี่อาจเป็นแพคเกจรหัสบางรุ่นไพ ธ อน ฯลฯ อื่น ๆ เช่น LibreOffice PPA จะลบ OpenOffice ที่มีอยู่ทั้งหมดออกจากระบบของคุณเพื่อติดตั้งแพ็กเกจ LibreOffice ที่นั่น อ่านสิ่งที่ผู้ใช้คนอื่นได้ให้ความเห็นเกี่ยวกับแพ็คเกจเฉพาะและอ่านว่าแพ็คเกจนั้นเข้ากันได้กับเวอร์ชั่น Ubuntu ของคุณหรือไม่

ตามความคิดเห็นด้านล่างที่แนะนำโดย Jeremy Bicha มีเลือดออก (PPA ที่มีความทันสมัยอยู่เสมอรวมถึงการเพิ่มซอฟต์แวร์คุณภาพ Alpha, Beta หรือ RC ใน PPA) อาจทำให้ระบบของคุณเสียหายทั้งหมด (ในกรณีที่เลวร้ายที่สุด) Jeremy กล่าวถึงตัวอย่างของคนจำนวนมาก

เพื่อพัฒนา PPA ใน Launchpad ผู้อุปถัมภ์จะต้องลงนามในรหัสอูบุนตูของการดำเนินการ นี่หมายความว่าผู้พัฒนาจะต้องปฏิบัติตามมาตรฐานขั้นต่ำ

โดยทั่วไปผู้คนควรปรึกษาอูบุนตูฟอรัมเพื่อดูว่าใครได้ใช้ ppa โดยเฉพาะและหากพวกเขาสามารถทำให้เกิดปัญหาใด ๆ

สำหรับ "สามเณร" หรือ "noob" - คำแนะนำที่ดีที่สุดของฉันคือหลีกเลี่ยง PPA จนกว่าคุณจะรู้สึกมั่นใจว่าคุณเข้าใจบางสิ่งเกี่ยวกับบรรทัดคำสั่งข้อความแสดงข้อผิดพลาดที่อาจเกิดขึ้นและวิธีวินิจฉัยปัญหา

หากต้องการลบปัญหาที่ก่อให้เกิด ppa คุณสามารถใช้ " ppa_purge " เป็นส่วนใหญ่

หากคุณมีความรู้สึกประสาทแล้วพิจารณาการสำรองข้อมูลภาพของเครื่องคอมพิวเตอร์ของคุณด้วยเครื่องมือเช่นClonezilla ด้วยวิธีนี้หากสิ่งผิดปกติและคุณไม่สามารถแก้ไขได้อย่างน้อยคุณก็มีวิธีที่รวดเร็วในการกู้คืนคอมพิวเตอร์ของคุณกลับมาเหมือนเดิมก่อนที่คุณจะเริ่มเล่น

ต้องบอกว่าทั้งหมดนี้ ppa มีประโยชน์อย่างยิ่งในการรับซอฟต์แวร์รุ่นล่าสุด - โดยเฉพาะอย่างยิ่งสำหรับผู้ที่ไม่พยายามอัปเกรดทุก ๆ 6 เดือนและติดกับ Ubuntu รุ่น LTS

มันไม่ได้เป็นเพียงเรื่องของมัลแวร์ตามที่ได้มีการกล่าวไปแล้ว เป็นซอฟต์แวร์บางตัวที่ยังอยู่ในขั้นตอนการทดสอบและยังไม่พร้อมสำหรับการใช้งานจริง หากคุณติดตั้งและเชื่อมั่นในการทำงานให้เสร็จคุณอาจพบว่ามันเป็นรถที่ไม่น่าเชื่อถือและสามารถพังได้ - ทำให้คุณไม่มีงานที่ทำ

บางส่วนอาจไม่สอดคล้องกับแง่มุมอื่น ๆ ของ Ubuntu เช่น Unity หรือ Gnome ทำให้เกิดปัญหาที่ยากต่อการติดตามและอาจทำให้ระบบของคุณไม่เสถียร

นี่ไม่ใช่เพราะซอฟต์แวร์ไม่ดี แต่เนื่องจากอาจยังไม่ผ่านการทดสอบอย่างสมบูรณ์หรือเนื่องจากมีการทดสอบเพื่อให้ผู้คนสามารถทดสอบได้ แต่ยังไม่ได้ตั้งใจที่จะวางจำหน่ายโดยทั่วไปในฐานะซอฟต์แวร์การผลิต ดังนั้นคุณควรใช้ความระมัดระวังแม้ว่าบางอย่างจะค่อนข้างดี

หลายเดือนที่ผ่านมาฉันติดตั้งแพคเกจแนะนำจาก PPA เฉพาะและมันทิ้งระบบของฉันให้เพียงพอเพื่อที่จะต้องติดตั้ง Ubuntu ใหม่ ฉันเป็นผู้ใช้ใหม่และไม่รู้จะทำอย่างไร ด้วยความรู้เพิ่มเติมเล็กน้อยฉันอาจแก้ปัญหาและเรียกคืนได้โดยไม่ต้องทำการติดตั้งใหม่ (แม้ว่าจะเป็นประโยชน์สำหรับฉันในการเรียนรู้ Ubuntu แต่ถ้าฉันทำงานบันทึกไว้ในเครื่องของฉันฉันจะทำมันหาย) .

ดังนั้นระวังถามคำถามทำการสำรองบ่อย (!!!) และรู้ว่ามัลแวร์นั้นไม่น่าจะเกิดขึ้น (แม้ว่าจะเป็นไปไม่ได้ก็ตาม)

ความกังวลทั้งหมดที่ระบุโดยผู้อื่นที่นี่มีความสำคัญอย่างยิ่งที่จะเข้าใจ ที่กล่าวว่าเนื่องจากนี่เป็นโอเพนซอร์สเราสามารถบอกได้อย่างชัดเจนว่า PPA มีการเปลี่ยนแปลงอะไรจากแพ็คเกจใน Ubuntu เราจะใช้ PPA จากสำเนาที่ซ้ำกันนี้เป็นตัวอย่าง

ก่อนอื่นเราจะคว้าเครื่องมือจากแหล่ง PPA dgetที่จะดาวน์โหลดแพคเกจ Debian ทั้งหมดที่มีลิงก์ไปยังdscไฟล์:

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

ฉันพบลิงค์นั้นโดยคลิก "ดูรายละเอียดแพ็คเกจ":

แล้ว:

ต่อไปเราจะได้รับซอร์สของแพคเกจในไฟล์เก็บถาวรของ Ubuntu:

apt-get source unity

สุดท้ายเราจะใช้debdiffเพื่อดูความแตกต่างระหว่างแหล่งที่มาของสองแพ็คเกจ:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

ผลลัพธ์ของคำสั่งนั้นมีความยาวประมาณสามร้อยบรรทัดดังนั้นฉันจะวางมันลงใน pastebinแทนที่จะเข้าไปในหน้าต่างโดยตรง ตอนนี้ฉันไม่สามารถรับรองได้ว่ารหัสนั้นดีแค่ไหนเพราะฉันไม่รู้ C ++ จริง ๆ แต่ดูเหมือนว่าจะทำในสิ่งที่อ้างว่าไม่ใช่สิ่งที่เป็นอันตราย

PPA เป็นเว็บโฟลเดอร์ที่มีซอฟต์แวร์ที่คุณสามารถติดตั้งได้ มันไม่ซับซ้อนกว่านั้นจริงๆ เมื่อคุณติดตั้งแพคเกจคุณทำเช่นนั้นด้วยสิทธิ์ของรูทและแพคเกจนั้นมีสคริปต์ที่รันดังนั้นมันจะทำงานเหมือนรูท นั่นหมายถึงการติดตั้งซอฟต์แวร์ใด ๆ เป็นอันตรายและคุณจำเป็นต้องเชื่อถือนักพัฒนาซอฟต์แวร์หรือผู้จัดจำหน่าย

ไฟล์เก็บถาวร apt, PPA หรืออย่างอื่นมีการสำรวจเป็นประจำสำหรับการอัพเดตซอฟต์แวร์ที่คุณติดตั้ง "ปัญหา" กับสิ่งนั้นคือทุกคนสามารถให้แพ็คเกจซอฟต์แวร์ที่คุณติดตั้งใหม่ได้ ตัวอย่างเช่นคุณสามารถเพิ่ม PPA เพื่อรับชุดรูปแบบที่ดีและอัพเดตอัตโนมัติของชุดรูปแบบนั้น แต่เมื่อคุณเพิ่มพื้นที่เก็บข้อมูลนั้นแล้วเจ้าของสามารถเพิ่มแพ็คเกจ openssh-server ที่ได้รับการติดตั้งแล้วและจะปรากฏเป็นอัปเดตใน Ubuntu สามารถทำได้หนึ่งปีหลังจากที่คุณเพิ่ม PPA ดังนั้นคุณต้องใส่ใจกับการอัปเดต

ระบบ PPA ป้องกันบุคคลที่สามไม่ให้เข้าไปยุ่งเกี่ยวกับแพ็คเกจอย่างไรก็ตามถ้าคุณเชื่อใจผู้พัฒนา / ผู้จัดจำหน่าย PPAs นั้นปลอดภัยมาก ตัวอย่างเช่นหากคุณติดตั้ง Google Chrome พวกเขาจะเพิ่ม PPA เพื่อที่คุณจะได้รับการอัปเดตอัตโนมัติ พวกเขาเพิ่ม "deb http://dl.google.com/linux/chrome/deb/ main main" หากเซิร์ฟเวอร์ DNS ที่คุณใช้แฮ็กชี้ไปที่ dl.google.com ที่อื่นพวกเขาสามารถผลักดันซอฟต์แวร์ที่ได้รับการติดตั้งไปยังทุกคนที่ติดตั้ง Chrome แต่อูบุนตูจะปฏิเสธที่จะติดตั้งเนื่องจากไม่สามารถลงทะเบียนด้วยคีย์ส่วนตัวของ Google ดังนั้นในเรื่องดังกล่าว PPA จึงมีความปลอดภัยสูง

เป็นไปไม่ได้ที่จะบอกว่า PPA ปลอดภัยหรือไม่ มันขึ้นอยู่กับคนที่ใช้มันเพื่อแจกจ่ายซอฟต์แวร์ ด้วยซอฟต์แวร์ฟรีผู้คนสามารถดูที่มาและดูว่าปลอดภัยหรือไม่ เมื่อผู้คนจำนวนมากใช้ไฟล์เก็บถาวรเช่นคลังข้อมูลปกติของ Ubuntu คุณต้องมีการตรวจสอบโดยเพื่อน ไฟล์เก็บถาวรขนาดเล็กที่มีผู้ใช้ไม่กี่คนนั้นไม่มีดังนั้นจึงเชื่อถือได้น้อย บทเรียนหลักคือไม่ว่าคุณจะใช้ระบบใดคุณควรระมัดระวังเมื่อติดตั้งซอฟต์แวร์

จากคำตอบของ Luis Alvaradoคุณควรตระหนักถึงความเสี่ยงเหล่านี้:

• แพ็คเกจที่เป็นอันตราย - แพคเกจอาจพยายามทำร้ายคุณ นี่เป็นเรื่องง่ายสำหรับพวกเขาเพราะพวกเขาสามารถเรียกใช้รหัสใด ๆ ที่มีสิทธิ์ผู้ดูแลระบบ
• ซอฟต์แวร์ที่มีคุณภาพต่ำหรือไม่สามารถใช้งานได้ - แอปพลิเคชันอาจทำงานได้ไม่ดี มันอาจทำให้เกิดความเสียหายโดยบังเอิญเช่นการแทรกแซงซอฟต์แวร์อื่นทำลายข้อมูลของคุณหรือการรั่วไหลของข้อมูลส่วนตัว

และคุณควรใส่ใจปัจจัยเหล่านี้:

• ความซื่อสัตย์ของผู้ดูแล -ผู้ดูแลอาจพยายามทำร้ายคุณหรือไม่
• ความปลอดภัยของผู้ดูแล -ผู้ดูแลมีความเสี่ยงที่จะถูกโจมตีโดยบุคคลที่สามหรือไม่?
• ความน่าเชื่อถือของผู้ดูแล -ผู้ดูแลจะตอบสนองต่อความต้องการการอัพเดทภายในกรอบเวลาที่สมเหตุสมผลหรือไม่? พวกเขามุ่งมั่นที่จะรักษา PPA ในระยะยาวหรือไม่?
• ความปลอดภัยของที่เก็บ - แพ็คเกจถูกเซ็นชื่อโดยผู้ดูแลหรือไม่
• ประสิทธิภาพของซอฟต์แวร์ -ซอฟต์แวร์ไม่มีข้อบกพร่องและเข้ากันได้กับระบบของคุณหรือไม่?

แพ็คเกจบน PPA ไม่ได้ตรวจสอบสิ่งต่าง ๆ เช่นมัลแวร์ ดังนั้นในขณะที่บางคนอาจทำบรรจุภัณฑ์อย่าง XBMC ให้คุณ แต่พวกเขาก็สามารถเพิ่มสปายแวร์ / มัลแวร์ด้วย นี่คือเหตุผลที่คุณไม่ควรเพิ่ม PPA แบบสุ่มใด ๆ

เมื่อคุณเพิ่ม ppa และติดตั้งโปรแกรมผ่านมัน

โดยทั่วไปคุณให้สิทธิ์อยู่โปรแกรมนั้นในพื้นที่ปฏิบัติการที่อนุญาต (/ bin / / sbin / / usr / bin /)

ตอนนี้ถ้าโปรแกรมนั้นเป็น / มีมัลแวร์อยู่แล้วระบบจะไม่บ่นเกี่ยวกับมันเนื่องจากคุณเป็นผู้ที่เพิ่ม ppa โดยพิจารณาถึงความน่าเชื่อถือ

เมื่อโปรแกรมมาจากที่เก็บของ Ubuntu พวกเขาจะถูกตรวจสอบก่อน (ฉันอยากจะพูดอย่างละเอียด แต่ไม่รู้: P) ดังนั้นผู้ที่มาจากที่เก็บของ Ubuntu นั้นปราศจากมัลแวร์ / สปายแวร์อย่างแน่นอน

สำหรับ ppa อื่นใดขึ้นอยู่กับคุณ / ผู้ใช้ในการตัดสินใจว่าจะไว้วางใจหรือไม่