Последствия для безопасности других репо

Question

Последствия для безопасности других репо

Главный вопрос:

В какой момент я могу доверять внешним, неофициальным репо? Существуют ли последствия для безопасности для слепого добавления сторонних репозиториев на рабочую станцию? Тем не менее, я очень подозревал включение неофициальных репозиториев.

Предыстория и мой частный случай:

Я хотел бы установить Juce. Насколько я понимаю, это отдельная утилита для размещения VST (виртуальных инструментов, используемых в производстве музыки). Я нашел то, что кажется его источником на github, и попытался скомпилировать это в одноразовой виртуальной машине. Однако после получения ошибок при установке (на которые я могу открыть билет здесь или на github позже), мне было любопытно посмотреть, упаковал ли кто-нибудь его для Ubuntu.

0

add-apt-repository midi vst

Источник

Rick 10 мар '16 в 16:54

1 ответ

Решение

Другие вопросы по тегам add-apt-repository midi vst

Oli 10 мар '16 в 17:20 2016-03-10 17:20 · Accepted Answer · 2016-03-10 17:20

Есть несколько проблем:

Любой репозиторий может перезаписать любой пакет по умолчанию. Вы можете закрепить репо, чтобы разрешить только определенные пакеты, но это не поможет против этого, потому что...
Эти пакеты могут записывать файлы где угодно. Им не нужно перезаписывать существующие файлы, но есть множество мест, где можно скрыть вредоносный файл, не говоря уже о том, чтобы...
При установке и удалении пакеты могут запускаться как пользователь root.

Так что да, если вы не можете доверять контроллеру репозитория (или полагать, что они проверяют код, входящий в репо), вам не следует использовать это репо. Вредоносный пакет - игра окончена.