Como reconheço se um pacote instalado via yaourt no arch linux pode ser prejudicial ao meu pc? Eu li no wiki que devo verificar todas as instalações que faço com você. Mas o que exatamente eu tenho que verificar e como reconheço pacotes maliciosos?
arch-linux
security
yaourt
lup3x
fonte
fonte
aur-foo
pacote é prejudicial ou não. Existe uma regra geral ou algoritmo? Eu acho que não. E a leitura de PKGBUILD não é suficiente - pense que instalará um programa C prejudicial. Você leu o código fonte completo antes da instalação? Eu acho que deveria checar os comentários (sobre relatórios, avisos) e os votos (se houver muitos votos, não parece tão ruim). Estou usando muitos pacotes AUR e acho que a maioria deles é boa. Mas ... o diabo nunca dorme :)Respostas:
Você não pode, na verdade, sem fazer uma extensa auditoria do código e observá-lo em ação "de fora", por exemplo, usando uma máquina virtual. Não existe uma maneira à prova de balas para encontrar pacotes maliciosos, e certamente nenhuma maneira automatizada que não possa ser contornada com relativa facilidade. Algumas coisas que você pode fazer realisticamente , nenhuma das quais são balas de prata:
Finalmente, o único software seguro não é software. Tem certeza de que precisa instalar um software em que não confia? Não existe uma alternativa conhecida e confiável?
fonte
Como mencionado anteriormente, você não pode ter certeza.
Uma das principais heurísticas que eu pessoalmente uso são:
Se eu tentasse instalar isso manualmente, estaria baixando-o do spotify.com de qualquer maneira, então está tudo bem nos meus livros. Uma breve leitura do resto do PKGBUILD e não parece estar fazendo nada obviamente incomum. É claro que existem maneiras de ser sorrateiras, mas acho que o principal alvo de qualquer código malicioso no AUR seria as pessoas que usam yaourt, etc. .
fonte