Bagaimana cara saya menyelidiki / mengonfirmasi identitas pengelola PPA (mis., Tim Chromium)?

8

PPA Stabil Chromium (seperti yang ditemukan di sini: ppa: chromium-daily / stable) dikelola oleh Tim Chromium (https://launchpad.net/~chromium-team). Saya menganggap ini adalah pengembang Chromium "Google"? Jika demikian, saya akan menganggap PPA ini sangat aman dan dapat dipercaya.

Tetapi apakah ada prosedur atau metode investigasi khusus yang harus / bisa saya lakukan untuk mengkonfirmasi identitas pengelola? Seperti yang saya pahami (atau setidaknya telah membaca), siapa pun dapat membuat PPA "Tim Chromium". Untuk keselamatan dan keamanan, saya ingin mempelajari cara mengonfirmasi identitas pengelola PPA, terutama pengelola "nama besar" seperti Google atau Mozilla.

ppa security packaging software-sources community Sam
sumber

Jawaban:

4

"Tim Chromium" di Launchpad adalah pengembang Ubuntu, bukan pengembang Google (kecuali satu, yang bekerja di Chromium di Google). Anda dapat melihat ini dengan melihat keanggotaan tim:

Cara Anda menentukan apakah pengelola hulu aktif dalam tim adalah untuk melihat apakah Anda mengenali nama (atau alamat email). Untuk proyek-proyek besar seperti Mozilla dan Chrome tempat pengembang Ubuntu bekerja dengan masing-masing hulu masing-masing, saya percaya mereka.

Misalnya tim yang menjalankan PPA Firefox adalah tim yang sama yang mengelola Firefox dalam distribusi, dan tim yang mengelola PPA Chromium juga tim yang sama yang mengelola Chromium di distro.

Benar-benar tidak ada cara untuk menentukan seberapa "dapat dipercaya" sebuah PPA pada glace (Itulah sebabnya kebanyakan orang biasanya akan merekomendasikan tidak mempercayai mereka secara default). Saat ini tidak ada cara nyata bagi Anda untuk mengetahui seberapa "resmi" suatu AKP kecuali jika secara eksplisit disebutkan oleh sebuah hulu sebagai dapat dipercaya (lihat bagaimana XBMC merekomendasikan AKP dalam tautan itu) atau Anda mengenali orang-orang dalam tim. Di Open Source karena semuanya dilakukan dalam kepercayaan terbuka adalah sesuatu yang diperoleh orang berdasarkan perilaku. Sebagai contoh, saya percaya seseorang yang bekerja di Mozilla untuk menulis browser saya dan saya percaya seseorang yang merupakan pengembang Ubuntu untuk mengemasnya dengan benar karena kedua organisasi memiliki model peer review.

PPA individu adalah masalah lain, tidak ada jaminan bahwa mereka tidak akan merusak apa pun, tetapi itu tidak berarti setiap PPA secara otomatis buruk. Chris berbicara tentang ini sedikit tentang keamanan PPA dalam jawaban ini:

Jorge Castro
sumber
Jadi intinya, kecuali saya tahu nama yang muncul di "Anggota" bisa dipercaya, saya tidak pernah bisa yakin PPA aman? Jorge, apa perbedaan antara Chromium PPA dan repo Universe of Chromium? Saya mengasumsikan repo Universe Chromium juga dikelola oleh pengembang Ubuntu?
Sam
Jadi pada dasarnya, kecuali saya tahu nama yang muncul di "Anggota" dapat dipercaya, saya tidak pernah bisa yakin PPA aman - benar, tetapi hal yang sama berlaku untuk semua perangkat lunak yang diinstal dari Internet. Anda tidak tahu bahwa setiap nama di daftar pengelola Ubuntu dapat dipercaya juga.
@ Sam Saya telah memperbarui jawaban saya, Jangan ragu untuk bertanya tentang perbedaan antara Chromium dari PPA dan semesta sebagai pertanyaan baru.
Jorge Castro
@ Sam: Saya yakin pertanyaan Anda tidak dijawab dengan benar, jadi saya akan mengambil celah. Secara umum jika Anda tahu kelompok pengemasan dan sudah mempercayai mereka, maka itu yang tercepat. Saya juga ingin menyebutkan, YMAK kita di komunitas melakukan hal-hal dengan cara 'Gratis' ... atau setidaknya dengan cara 'Terbuka' ... Anda selalu memiliki pilihan untuk meninjau kode sendiri. Launchpad mengharuskan semua sumber untuk diunggah ditandatangani, yang kemudian diverifikasi dari kunci gpg yang disediakan sebelumnya. Jadi Anda bisa yakin paket sumber yang dibuat semula, adalah paket yang sama dengan yang Anda unduh.
JM Becker