O ponto é que pode não ser tão fácil para um usuário inexperiente verificar código-fonte . No entanto, com os contrapontos naturais, também se poderia argumentar que o Arch Linux não é a distribuição Linux mais adequada para usuários inexperientes.
O wiki do Arch, os assistentes do AUR e a maioria dos fóruns on-line alertam sobre os perigos de tais repositórios / AUR, e que eles não devem ser cegamente confiáveis. Alguns ajudantes também avisam que você deve ler os PKGBUILDs antes de instalá-los.
Como recomendação, é sempre aconselhável usar trizen ou aurman
(ou utilitários semelhantes) em vez de yaourt
(listado como problemático / descontinuado), pois oferece ao usuário a oportunidade de inspecionar listas de pacotes / diferenças. Também ajuda a analisar o histórico de contribuições ao selecionar ou atualizar pacotes.
Usuários casuais não devem usar esses repositórios como seu principal grampo de fonte de pacotes quando você tem pacotes binários oficiais como uma alternativa. Se você tiver que usar o AUR, poderá procurar fóruns e / ou listas de discussão do Arch para relatar problemas. No entanto, embora seja uma visão excessivamente otimista, parece que a comunidade do Arch inspeciona regularmente os pacotes, como foi o caso aqui.
Você também pode tentar usar maldetect
para pesquisar código-fonte baixado por assinaturas de malware conhecidas, no código-fonte baixado, no entanto, a probabilidade de capturar algo com código personalizado é nula. maldetect
costuma ser mais adequado para capturar malware em código PHP.
P.S. No meu último trabalho, eu usei por um curto tempo dhcpd
packages compilados da fonte, e estava usando durante anos pacotes FreeRadius compilados da fonte (porque a versão Debian era obsoleta).
No primeiro caso eu fiz uma verificação superficial do código-fonte do github para o par de vezes que eu fiz o download. No segundo caso, segui ativamente o fórum de usuários do FreeRadius, o fórum do github e as atualizações de código. Eu também tive um ambiente de teste / quarentena. (Eu até consegui enviar um relatório de bug importante encontrado no meu ambiente de teste).
Chegando ao ponto, se você estiver fazendo algum trabalho sério com pacotes instalados, geralmente envolve muito mais trabalho do que os pacotes oficiais oferecidos pela distribuição.
P.S.2. Geralmente qualquer administrador experiente do Unix dirá que rodar diretamente scripts / código fonte diretamente de curl
, sem qualquer tipo de inspeção visual, é uma péssima idéia do ponto de vista da segurança.