Perguntas respondidas
Is this as safe as I assume? Are there other places (in the PKGBUILD or elsewhere) where an attack could be placed?
Desde que você confie no software, é seguro para você. Se não houver um editor de software, o que você está fazendo é o mínimo de acordo com [Arch Wiki] porque você não verifica o código-fonte da (s) fonte (s) baixada (s) onde o código malicioso pode ser inserido.
Para citar o wiki:
Warning: Carefully check all files. Carefully check the
PKGBUILD
and any.install
file for malicious commands. PKGBUILDs are bash scripts containing functions to be executed bymakepkg
: these functions can contain any valid commands or Bash syntax, so it is totally possible for aPKGBUILD
to contain dangerous commands through malice or ignorance on the part of the author. Sincemakepkg
uses fakeroot (and should never be run as root), there is some level of protection but you should never count on it. If in doubt, do not build the package and seek advice on the forums or mailing list.
It is very inconvenient to check the whole PKGBUILD at every update of the package. In most cases, only version numbers or URLs are changed. Is there a tool or simple way to present/highlight the differences from the last PKGBUILD?
Nunca é inconveniente verificar todo o PKGBUILD
a cada atualização porque:
Weird bugs can do bad things.
AUR inclui Git para que você possa verifique as alterações feitas em um repositório AUR de https://aur.archlinux.org/cgit/aur.git/log/?h=yourPackageNameHere
.
Is there a tool that supports the user with checking PKGBUILD files?
No momento em que escrevo isto, não há ferramenta para isso, mas vamos ver o que será o futuro!
Detecção / Evitar de mal-intencionado
Por favor, considere o seguinte como não completo e aberto a modificações .
Você não pode realmente verificar um PKGBUILD sem uma auditoria extensa do código e observá-lo em ação de imediato, por exemplo, com a ajuda de uma máquina virtual.
Não há nenhuma ferramenta e nenhuma maneira automatizada de encontrar pacotes maliciosos, mas você pode (não deve) evitar códigos maliciosos com a ajuda dos seguintes itens.
- Baixe o pacote e sua origem, descompacte-o, mas não o instale.
- Execute uma verificação de vírus nos arquivos descompactados / de origem. Isso ajudará você a encontrar alguns problemas ou hacks conhecidos.
- Antes de usá-lo, instale-o em uma máquina virtual e verifique se ele não faz nada de errado, como tocar um arquivo que não deveria ou, por exemplo, comunicar-se com servidores. O uso de um detector de rootkit deve automatizar a detecção de tais coisas.
- Instale-o em um ambiente restrito, como SELinux, cadeia chroot, máquina virtual, máquinas separadas ...