A resposta: é .
É sempre um risco introduzir fontes adicionais para pacotes, independente de qual distro / SO você está usando. O uso de chaves GPG, em teoria, ajuda a mitigar os riscos, uma vez que, em teoria, alguém teria que:
- acesse o servidor no qual os binários estão sendo veiculados
- acesse a chave GPG privada usada para assinar os binários
- empacotar novas versões de binários comprometidos, assiná-los e, em seguida, colocar no servidor
Neste cenário, alguém teria que passar por várias camadas para fazer algo nefasto. Como sempre acontece com segurança. É tudo sobre camadas! Para que uma comunidade possa prosperar e se colocar sobre os ombros dos outros, você tem que estar disposto a abrir mão do isolamento e colocar sua confiança nos outros.
E lembre-se de que os servidores que veiculam arquivos foram comprometidos antes em graus variados, mas geralmente são capturados imediatamente e podem ser solucionados em pouco tempo.
Ataques anteriores
- Site do Fedora invadido, mas os servidores não foram danificados!
- Pacotes de software mal-intencionados encontrados no repositório de usuários do Arch Linux
- Malware encontrado no Repositório de Pacotes do Arch Linux AUR
Dicas
- Sempre examine as URLs e verifique se elas são legítimas
- Não adicione reposições a menos que você realmente precise de um pacote delas
- Examine periodicamente seu sources.list
- Periodicamente, examine as chaves GPG usadas pelos sites para assinar pacotes
- Seja diligente em manter-se atualizado sobre os pacotes