Как мне узнать / подтвердить личность сопровождающего PPA (например, Chromium Team)?

8

Chromium Stable PPA (как указано здесь: ppa: chromium-daily / stable) поддерживается Chromium Team (https://launchpad.net/~chromium-team). Я предполагаю, что это разработчики Chrome "Google"? Если это так, я бы предположил, что этот PPA является очень безопасным и заслуживающим доверия.

Но есть ли конкретная процедура или метод расследования, которые я должен / могу сделать, чтобы подтвердить личность сопровождающего? Насколько я понимаю (или, по крайней мере, прочитал), любой может создать PPA «Chromium Team». В целях безопасности я хотел бы узнать, как подтвердить личность тех, кто сопровождает PPA, особенно тех, кто поддерживает такие громкие имена, как Google или Mozilla.

ppa security packaging software-sources community Сэм
источник

Ответы:

4

«Команда Chromium» в Launchpad - это разработчики Ubuntu, а не разработчики Google (за исключением одного, кто работает над Chromium в Google). Вы можете увидеть это, посмотрев на членство команды:

Чтобы определить, активны ли ведущие разработчики в группе, нужно проверить, узнаете ли вы имена (или адреса электронной почты). Для крупных проектов, таких как Mozilla и Chrome, где разработчики Ubuntu работают с соответствующими разработчиками, в общем, я им доверяю.

Например, команда, которая запускает Firefox PPA, - это та же команда, которая поддерживает Firefox в дистрибутиве, и команда, которая поддерживает Chromium PPA, также является той же командой, которая поддерживает Chromium в дистрибутиве.

На самом деле нет никакого способа определить, насколько «заслуживающий доверия» PPA на высоте (именно поэтому большинство людей обычно рекомендуют не доверять им по умолчанию). В настоящее время у вас нет реального способа узнать, насколько «официальным» является PPA, если только вышестоящее руководство не упомянуло его как заслуживающее доверия (посмотрите, как XBMC рекомендует PPA в этой ссылке) или вы не узнаете людей в команде. В Open Source, поскольку все делается в открытом доверии, это то, что люди зарабатывают на основе поведения. Например, я доверяю тому, кто работает в Mozilla, написание моего браузера, и я доверяю тому, кто является разработчиком Ubuntu, чтобы правильно его упаковать, поскольку в обеих организациях существует модель экспертной оценки.

Отдельные PPA - это другое дело, нет гарантии, что они ничего не сломают, но это не значит, что каждый автоматически становится плохим. Крис говорит об этом немного о безопасности PPA в этом ответе:

Хорхе Кастро
источник
Таким образом, по сути, если я не знаю имена, которые появляются в «Членах», чтобы быть заслуживающими доверия, я никогда не смогу быть уверенным, что PPA безопасен? Хорхе, в чем разница между Chromium PPA и репозиторием Chromium во Вселенной? Я предполагаю, что репозиторий Chrome от Universe также поддерживается разработчиками Ubuntu?
Сэм
Поэтому, по сути, если я не знаю имена, которые появляются в «Членах», как заслуживающие доверия, я никогда не смогу быть уверенным, что PPA безопасен - правда, но то же самое относится ко всему программному обеспечению, установленному из Интернета. Вы не знаете, что каждое имя в списке сопровождающих Ubuntu также заслуживает доверия.
@Sam Я обновил свой ответ. Не стесняйтесь задавать вопросы об отличиях Chromium от PPA и вселенной в качестве нового вопроса.
Хорхе Кастро
@ Сэм: Я верю, что на ваш вопрос не ответили должным образом, поэтому я возьму трещину. В общем, если вы знаете группу упаковки и уже доверяете ей, то это быстрее всего. Я также хочу отметить, что YMAK, мы в сообществе делаем вещи «бесплатно» ... или, по крайней мере, "открыто" ... У вас всегда есть возможность просмотреть код самостоятельно. Launchpad требует, чтобы все источники были загружены со знаком, что затем проверяется с помощью ранее предоставленного ключа gpg. Таким образом, вы можете быть уверены, что исходный пакет изначально создан и является тем же пакетом, который вы скачали.
Дж. М. Беккер