Os PPAs são seguros para adicionar ao meu sistema e quais são algumas “bandeiras vermelhas” a serem observadas?

O PPA ( Arquivo Pessoal de Pacotes ) é usado para incluir um software específico no seu Ubuntu, Kubuntu ou qualquer outro compatível com PPA distro. A " segurança " de um PPA depende principalmente de 3 coisas:

1. Quem fez o PPA - Um PPA oficial do WINE ou do LibreOffice como ppa: libreoffice / ppa e um PPA que eu criei não são os mesmos. Você não me conhece como um mantenedor do PPA, então a questão da confiança e segurança é MUITO baixa para mim (já que eu poderia ter feito um pacote corrompido, incompatível ou qualquer outra coisa ruim), mas para o LibreOffice e o PPA eles oferecem em seu site , Isso dá uma certa segurança para isso. Então, dependendo de quem fez o PPA, por quanto tempo ele ou ela fizeram e mantiveram o PPA influenciará um pouco a segurança do PPA para você. Os PPA's mencionados acima nos comentários não são certificados pela Canonical.

2. Quantos usuários usaram o PPA - Por exemplo, eu tenho um PPA do link no meu PPA pessoal. Você confiaria em mim com 10 usuários que confirmam o uso do meu PPA, tendo 6 deles dizendo que é uma droga do que o que a Scott Ritchie oferece como ppa: ubuntu-wine / ppa no site oficial da winehq. Tem milhares de usuários (inclusive eu) que usam seu PPA e confiam em seu trabalho. Este é um trabalho que tem vários anos de atraso.

3. Como o PPA está atualizado - Digamos que você esteja usando o Ubuntu 10.04 ou 10.10, e você quer usar esse PPA especial. Você descobre que a última atualização desse PPA foi há 20 anos. As chances que você tem de usar THAT PPA são nulas. Por quê?. Porque as dependências de pacotes que o PPA precisa são muito antigas e talvez as atualizadas alterem tanto código que elas não funcionarão com o PPA e possivelmente quebrarão o seu sistema se você instalar qualquer um dos pacotes desse PPA em seu sistema.

   Como um PPA atualizado influencia a decisão de usá-lo se ele quiser usar o THA PPA. Se não, prefeririam procurar outro mais atualizado. Você não quer o Banshee 0.1 ou o Wine 0.0.0.1 ou o OpenOffice 0.1 Beta Alpha Omega Thundercat Edition com o Ubuntu mais recente. O que você quer é um PPA atualizado para o seu Ubuntu atual. Lembre-se que um PPA menciona para que versão do Ubuntu é feita ou para várias versões do Ubuntu foi feita.

   Como exemplo disso, aqui está uma imagem das versões que são suportadas no Wine PPA:

   

   Aqui você pode ver que este PPA é suportado desde dinossauros.

   Uma coisa ruim sobre como um PPA é atualizado, se o mantenedor do PPA tende a empurrar para o PPA a versão mais recente, melhor e mais avançada de um pacote específico. O lado negativo disso é que se você estiver indo para testar o mais recente de algo, você vai encontrar alguns bugs. Tente ficar com os PPAs atualizados para uma versão estável e não instável, teste ou versão de desenvolvimento, pois pode conter bugs. A idéia de ter o mais recente também é para o TEST e dizer quais problemas foram encontrados e resolvê-los. Um exemplo disso são os PPAs Xorg diários e os PPAs Daily Mozilla. Você receberá cerca de 3 atualizações diárias para o X.org ou o Firefox, caso obtenha os diários. Isto é por causa do trabalho que você colocou lá e se você está usando seus PPAs diários significa que você quer ajudar na busca ou desenvolvimento de bugs e NÃO em um ambiente de produção.

Basicamente fique com este 3 e você estará seguro. Sempre procure o fabricante / mantenedor do PPA. Sempre veja se muitos usuários já usaram e sempre ver como está atualizado o PPA. Locais como OMGUbuntu , Phoronix , Slashdot , O H , WebUp8 e até mesmo aqui no AskUbuntu são boas fontes para encontrar muitos usuários e artigos falando sobre e recomendando alguns PPAs que eles testamos.

Exemplos estáveis de PPA - LibreOffice, OpenOffice, Banshee, Wine, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb, VLC são bons e seguros PPAs da minha experiência.

PPA semi-estável - X-Swat PPA é um PPA intermediário entre a borda sangrando e estável.

Bleeding Edge PPA - O Xorg-Edgers é um PPA de última geração, embora eu deva mencionar que, após o 12.04, esse PPA se tornou cada vez mais estável. Eu ainda marcaria como borda de sangramento, mas é estável o suficiente para os usuários finais.

PPA selecionável - o Handbrake oferece aqui uma maneira de o usuário escolher, você quer um estábulo versão ou você quer a versão de borda sangrando (também conhecida como Snapshot). Neste caso, você pode selecionar o que você deseja usar.

Observe que, no caso de usar, por exemplo, o X-Swat ppa com o PPA Xorg-Edgers, você obterá uma mistura entre os dois (com prioridade para os Xorg-Edgers). Isto é porque ambos estão tentando incluir quase os mesmos pacotes, então eles irão sobrescrever um ao outro e somente o mais atualizado será mostrado em seus repositórios (exceto se você diz manualmente para pegar o pacote do X-Swat).

Alguns PPAs podem atualizar alguns de seus pacotes quando você os adiciona ao seu repositório porque eles sobrescrevem com sua própria versão um determinado pacote para fazer o software PPA funcionar corretamente em seu sistema. Isso pode ser alguns pacotes de código, versões python, etc. Outros como o LibreOffice PPA irá remover toda a existência do OpenOffice do seu sistema para instalar os pacotes do LibreOffice lá. Basicamente, leia o que outros usuários comentaram sobre um pacote específico e também leia se o pacote é compatível com sua versão do Ubuntu.

Como o comentário abaixo sugere por Jeremy Bicha, algumas melhorias (PPAs que permanecem muito atualizadas, incluindo a adição de software de qualidade Alpha, Beta ou RC no PPA) poderiam danificar todo o seu sistema (no pior dos casos). Jeremy menciona um exemplo de muitos.

Para desenvolver PPA's no launchpad, o colaborador deve ter assinado o código de conduta do ubuntu . Isso significa que o desenvolvedor deve obedecer a um conjunto mínimo de padrões.

Normalmente, as pessoas devem então consultar os ubuntuforums para ver quem usou determinados ppa's e se eles poderiam causar problemas.

Para um "novato" ou "noob" - meu melhor conselho é ficar longe dos PPAs até que você tenha certeza de que entendeu algumas coisas sobre a linha de comando, possíveis mensagens de erro e algumas coisas sobre como diagnosticar problemas. / p>

Para remover problemas que causam o ppa, você pode, na maior parte do tempo, usar " ppa_purge "

Se você estiver nervoso, considere um backup de imagem do seu computador com uma ferramenta como o clonezilla . Dessa forma, se as coisas derem errado e você não conseguir resolvê-lo, pelo menos você terá um meio rápido para restaurar o computador de volta ao modo como estava antes de começar a tocar.

Não é apenas uma questão de malware, como já foi dito. É também que parte do software ainda pode estar em fase de testes e não estar pronto para uso em produção. Se você instalá-lo e confiar nele para realizar o trabalho, poderá descobrir que ele é defeituoso, não é confiável e pode travar - deixando você sem o trabalho que você realizou.

Algumas delas também podem não se dar bem com outros aspectos do Ubuntu, como o Unity ou o Gnome, causando problemas que são difíceis de rastrear e talvez até mesmo tornando seu sistema instável.

Isto não é porque o software é ruim, mas porque talvez ainda não tenha sido totalmente testado, ou porque foi disponibilizado para que as pessoas pudessem testá-lo, mas ainda não destinado a ser geralmente lançado como software de produção. Portanto, você deve ter cuidado, embora alguns sejam realmente bons.

Alguns meses atrás eu instalei um pacote recomendado de um PPA em particular, e ele destruiu meu sistema o suficiente para que eu tivesse que reinstalar o Ubuntu. Eu era um novo usuário e não sabia mais o que fazer; com um pouco mais de conhecimento eu poderia ter sido capaz de resolver o problema e restaurá-lo sem fazer uma reinstalação (embora isso também fosse útil para mim no aprendizado do Ubuntu, mas se eu tivesse trabalhado salvo na minha máquina eu teria perdido) .

Portanto, tenha cuidado, faça perguntas, faça backups frequentes (!!!) e saiba que o malware é improvável (embora não impossível).

Todas as preocupações listadas por outras pessoas são extremamente importantes para entender. Dito isto, uma vez que este é open source, podemos dizer exatamente o que o PPA mudou a partir da versão do pacote no Ubuntu. Usaremos o PPA de este duplicado como um exemplo.

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

Encontrei o link clicando em "Visualizar detalhes do pacote":

E então:

Em seguida, obteremos o código fonte do pacote no arquivo Ubuntu:

apt-get source unity

Por fim, usaremos debdiff para ver as diferenças entre a origem dos dois pacotes:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

A saída desse comando tem cerca de trezentas linhas, então vou colocá-lo em um pastebin em vez de diretamente na janela. Agora, eu não posso garantir o quão bom o código é, já que eu realmente não conheço o C ++, mas ele parece estar fazendo o que alega e não é nada malicioso.

Um PPA é uma pasta da web que contém o software que você pode instalar. Realmente não é muito mais complicado que isso. Quando você instala um pacote, você faz isso com privilégios de root e o pacote tem scripts que são executados, então eles são executados como root. Isso significa que instalar qualquer software é perigoso e você precisa confiar no desenvolvedor ou distribuidor.

Um arquivo apt, PPA ou outro, é consultado regularmente para atualizações do software que você instalou. O "problema" com isso é que qualquer um pode fornecer um novo pacote de software instalado. Por exemplo, você pode adicionar um PPA para obter um tema interessante e atualizações automáticas desse tema. Mas depois de adicionar esse repositório, o proprietário pode adicionar um pacote openssh-server, por exemplo, e ele aparecerá como uma atualização no Ubuntu. Isso pode ser feito um ano após você ter adicionado o PPA, portanto, você precisa prestar atenção às atualizações.

Não é possível dizer que um PPA é seguro ou não. Depende das pessoas que o usam para distribuir software. Com o software livre, as pessoas podem olhar para a fonte e ver se é seguro ou não. Quando muitas pessoas usam um arquivo, como os arquivos regulares do Ubuntu, você faz uma revisão por pares. Arquivos pequenos com poucos usuários não têm isso, então eles são menos confiáveis. A principal lição é que não importa o sistema que você usa, você deve tomar cuidado ao instalar o software.

Com base na resposta de Luis Alvarado , você deve estar ciente desses riscos:

• Pacotes maliciosos —Pacotes podem tentar prejudicá-lo. Isso é fácil para eles porque podem executar qualquer código com privilégios administrativos.
• Qualidade insatisfatória ou software incompatível - um aplicativo pode não funcionar bem. Pode causar danos acidentalmente, por exemplo, interferindo em outro software, destruindo seus dados ou vazando informações privadas.

e você deve estar atento a esses fatores:

• Honestidade do mantenedor - O mantenedor pode secretamente tentar prejudicá-lo?
• Segurança do mantenedor - o mantenedor está vulnerável a ataques de terceiros?
• Confiabilidade do mantenedor - o mantenedor responderá à necessidade de atualizações dentro de um prazo razoável? Eles estão comprometidos em manter o PPA a longo prazo?
• Segurança do repositório —Os pacotes são assinados pelo mantenedor?
• Desempenho do software - O software é livre de erros e compatível com o seu sistema?

Os pacotes em PPAs não são verificados quanto a malware. Então, enquanto alguém pode estar empacotando algo como o XBMC para você, eles também poderiam facilmente adicionar alguns spywares / malwares. É por isso que você não deve simplesmente adicionar qualquer PPA aleatório.

Quando você adiciona o ppa e instala um programa através dele.

Basicamente você dá permissão para residir este programa na área executável permitida (/ bin / / sbin / / usr / bin /).

Agora, se o programa em si é / tem de alguma forma um malware, então o sistema não vai reclamar, pois você é quem adicionou o ppa considerando sua confiabilidade.

Quando o programa vem dos repositórios do Ubuntu eles são checados primeiro (eu gostaria de dizer completamente, mas eu não sei: P) para que os repositórios do Ubuntu sejam livres de malware / spywares, com certeza.

Para qualquer outro ppa, o usuário pode decidir se deve confiar ou não.