Como eu investigo / confirmo a identidade de um mantenedor de PPA (por exemplo, Chromium Team)?

8

O PPA estável ao cromo (como encontrado aqui: ppa: diariamente com cromo / estável) é mantido pela Chromium Team (https://launchpad.net/~chromium-team). Presumo que este seja o desenvolvedor do Google "Chromium"? Nesse caso, eu assumiria que este PPA é muito seguro e confiável.

Mas existe um procedimento ou método específico de investigação que devo / posso fazer para confirmar a identidade do mantenedor? Pelo que entendi (ou pelo menos li), qualquer um pode criar um PPA "Chromium Team". Por segurança, eu gostaria de aprender como confirmar a identidade dos mantenedores de PPA, especialmente mantenedores de "grandes nomes", como Google ou Mozilla.

ppa security packaging software-sources community Sam
fonte

Respostas:

4

A "Equipe Chromium" no Launchpad são desenvolvedores do Ubuntu, não do Google (exceto um que trabalha no Chromium no Google). Você pode ver isso observando os membros da equipe:

A maneira como você determinaria se os mantenedores upstream estão ativos em uma equipe é ver se você reconhece nomes (ou endereços de email). Para grandes projetos como Mozilla e Chrome, onde os desenvolvedores do Ubuntu trabalham com seus respectivos upstream de um modo geral, confio neles.

Por exemplo, a equipe que executa o Firefox PPA é a mesma que mantém o Firefox na distribuição, e a equipe que mantém o Chromium PPA também é a mesma equipe que mantém o Chromium na distribuição.

Não há realmente nenhuma maneira de determinar quão "confiável" é um PPA (é por isso que a maioria das pessoas geralmente recomenda não confiar neles por padrão). Atualmente, não há uma maneira real de você saber o quão "oficial" é um PPA, a menos que seja explicitamente mencionado por um upstream como confiável (veja como o XBMC recomenda um PPA nesse link) ou você reconheça as pessoas em uma equipe. No código aberto, já que tudo é feito na confiança aberta, é algo que é ganho pelas pessoas com base no comportamento. Por exemplo, confio em alguém que trabalha na Mozilla para escrever meu navegador e confio em alguém que é desenvolvedor do Ubuntu para empacotá-lo adequadamente, pois ambas as organizações têm um modelo de revisão por pares.

Os CAE individuais são outra questão, não há garantia de que eles não quebrem nada, mas isso não significa que todos sejam automaticamente ruins. Chris fala um pouco sobre segurança PPA nesta resposta:

Jorge Castro
fonte
Então, essencialmente, a menos que eu saiba que os nomes que aparecem nos "Membros" são confiáveis, nunca posso ter certeza de que o PPA está seguro? Jorge, qual é a diferença entre o PPA Chromium e o repositório Universe de Chromium? Estou assumindo que o repositório Universe do Chromium também é mantido pelos desenvolvedores do Ubuntu?
Sam
Portanto, essencialmente, a menos que eu saiba que os nomes que aparecem nos "Membros" são confiáveis, nunca posso ter certeza de que o PPA é seguro - verdadeiro, mas o mesmo se aplica a todos os softwares instalados na Internet. Você não sabe que todos os nomes na lista de mantenedores do Ubuntu também são confiáveis.
@ Sam Atualizei minha resposta, fique à vontade para perguntar sobre as diferenças entre o Chromium do PPA e o universo como uma nova pergunta.
Jorge Castro
@ Sam: Eu acredito que sua pergunta não foi respondida adequadamente, então eu vou dar um tempo. Em geral, se você conhece o grupo de embalagens e já confia neles, isso é o mais rápido. Também quero mencionar que, na comunidade YMAK, fazemos as coisas da maneira 'grátis' ... ou pelo menos da maneira 'aberta' ... Você sempre tem a opção de revisar o código por conta própria. A Barra de Ativação exige que todas as fontes sejam carregadas assinadas, as quais são verificadas a partir de uma chave gpg fornecida anteriormente. Portanto, você pode ter certeza de que o pacote de origem criado originalmente é o mesmo pacote que você baixa.
JM Becker