LINUX.ORG.RU

Безопасность официальных реп Archlinux

 


0

2

В конец достали тупые зависимости в openSUSE. Сваливаю.

Подскажите, в арче вот 3 репы «официальных». Первые 2 понятно. Третья Community, про которую написано в вики, что это место, куда забирают не самое дно из аура.

Как в арче построена ревизия пакетов, которые попадают в официальные репы? Все на честном слове или все таки какие-то меры, типа «один апрувит коммиты другого» есть? Можно рассчитывать, что в коммьюнити-репу не прилетит условный майнер, потому что доверенному пользователю стало пофик на все и он решил подложить свинью остальным?

Штамп «школодистра» остался в голове. Хочется узнать, как в реальности обстоят дела. Были ли факапы?

★★★★★

Довольно печально, с учетом того, что они часто пишут «лицензия: custom». Вы себе представляете такое, например, у дебиана?

anonymous
()

За все время только два сообщения о вредоносной программе в aur. И не одного о официальных репах. Исключать конечно нельзя как и в любом дистре, везде этим занимаются люди а людям свойственно не только ошибаться но и ...

anonymous
()

Почему не Gentoo? Почему не Debian?

Все дистрибутивы одинаково «стабильны», в соответствующих руках. Что у тебя были за проблемы? Что за версия SUSE? Почему именно на Арч решил перебраться?

По поводу безопасности, нельзя доверять ничему, кроме «официального» и/или просмотренного тобой лично. За «официальным» есть репутация, а в иных случаях «эго» одного человека. Завтра у этого шизика поедет крыша и он забросит супермегапрогу, а его друг хакир вставит майнер, и в дальнейшем будет шантажировать тебя скаченными у тебя фоточками кота. Были ли прецеденты? А сам как думаешь? Думаешь, кто-то будет проверять всерьёз все версии ПО из НЕофициального репозитория и поделится с тобой, если найдёт архиинтересную дыру?

anonymous
()
Ответ на: комментарий от anonymous

Ну вот я и спрашиваю, может кто знает как происходит перенос пакетов в оф репы. Есть ли какая-то схема, когда проверяет один другого.

gutaper ★★★★★
() автор топика
Ответ на: комментарий от gutaper

Как переносят - в aur как таковых пакетов нет. Это сборник пакбилдов. Инструкций сборки: что откуда загрузить, как собрать и куда поставить. При переносе пакета он проверяется доверенным мантейнером собирается им же и подписывается его ключем. То есть все дело в доверии этому человеку или группе.

anonymous
()
Ответ на: комментарий от gutaper

Етить, дак так бы и писал:

«Ребят, хочу занести майнер в оф репу дистрибутива, кто-то так делал? Если делали или слышали, то подскажите.»

Если ты хочешь писать не это, то в остальном какая тебе разница, если ты всё равно не компетентен? А крышу порой сносит и у именитых авторитетных людей, которые стоят у самых истоков.

Если у тебя и будет стоять майнер из оф репы, ты его замечать не будешь. В чем же проблемы? Или ты просто жадина?

К слову, безопасность это не про Arch Linux.

anonymous
()
Ответ на: комментарий от anonymous

Почему не Gentoo?

Вырос :)

Почему не Debian?

Некоторые нужные вещи неприлично старые. А собирать деб пакеты - как-то нет желания постигать данные высоты задротства. Хотя если с арчем не выгорит, то придется видимо его начать пользовать.

Что у тебя были за проблемы? Что за версия SUSE?

openSUSE 15.1 Но это не суть важно. Тупые зависимости там везде. В арче (и даже дебе) в том же pcmanfm в рекомендуемые вынесено то, без чего работать будет, но менее комфортно. В сусе тупо Require

# needed for trash
Requires:       gvfs
Requires:       gvfs-backends
Requires:       libfm
# needed to mount devices
Requires:       menu-cache
Requires:       polkit-gnome
# needed to switch to root
Requires:       xdg-utils

А еще отправил реквест на обновление keepass. Уже месяц болтается, а бедный бот шлет напоминания мантейнеру. Я понимаю «никто ничего не обязан». Но если ты забил - так сообщи об этом. А так реквест болтается, а принять\отклонить его некому. И версия старая остается. При этом там тупо бамп версии (проверять особо и нечего).

gutaper ★★★★★
() автор топика
Ответ на: комментарий от anonymous

Т.е. круговой поруки нет? Один собрал - второй подтвердил, что в инструкции по сборке прописан нужный источник, а не левый сайт?

gutaper ★★★★★
() автор топика
Ответ на: комментарий от anonymous

К слову, безопасность это не про Arch Linux.

Доооо, старые известные дыры же лучше новых

anonymous
()
Ответ на: комментарий от anonymous

К слову, безопасность это не про Arch Linux.

Ну «новые дыры» в распоследних версиях софта - это побочка. Я же спрашиваю именно про вредительство. В дебе, федоре, да даже в сусе вряд ли вот «доверенный» васяк сможет пропихнуть непотребщину.

Вот я и спрашиваю, как проходит ревизия в арче

gutaper ★★★★★
() автор топика
Ответ на: комментарий от gutaper

Нет собирает именно доверенный мантейнер по инструкции или близко к ней. Все инструкции можно просмотреть и самому. Дело в доверии мантейнеру и исходникам. И в репы добавляют только пакеты за которые проголосавало много людей, а за левый майнер голосовать не будут. То есть еще перед перемешением пакет тестируют пользовател. Но не все исходники можно проверить чисто физически за разумное время, и вставить пртом майнер в исходники можно пока не обнаружат Вообще с паранойей ставить арч и ролинг дистры не стоит, тут лучше деб со старыми проверенными пакетами.

anonymous
()
Ответ на: комментарий от anonymous

И обычно пакет сначала попадает в тестинг , где тестируется тестюзерами и только потом в основные репы. То есть еще дополнительная проверка

anonymous
()
Ответ на: комментарий от anonymous

Первые 2 репы у меня вопросов не вызывают. Коммьюнити репа тоже так работает? Через тестинг?

gutaper ★★★★★
() автор топика

Не знаю кто как, а у меня к болгенос больше доверия чем арчу. Я бы лучше взял гену или слаку.

anonymous
()
Ответ на: комментарий от anonymous

Довольно печально, с учетом того, что они часто пишут «лицензия: custom».

Лицензия custom означает, что текст лицензии лежит в /usr/share/licenses/$pkgname/

sergej ★★★★★
()
Ответ на: комментарий от anonymous

пишут «лицензия: custom»

Ахах. Да плевать. Зачем обращать на это внимание?

ox55ff ★★★★★
()

Были ли факапы?

Нет, насколько я помню.

Рекомендую не Арч, а Manjaro

Deleted
()
Ответ на: комментарий от greenman

Понятия не имею. Но в багзилле, к примеру, послали проект deepin, когда те хотели в основные репы. Именно что из-за несоответствия безопасности того, как настроен он был.

И оф репы таки да, ревизию пакеты проходят - в obs дифф показывается, что изменили в пакете.

gutaper ★★★★★
() автор топика
Ответ на: комментарий от fornlr

Не валю, а узнаю. Потому что там навскидку зависимости вменяемые.

gutaper ★★★★★
() автор топика

Как в арче построена ревизия пакетов, которые попадают в официальные репы?

По желанию левой пятки мейнтейнеров. Что незападло будет, то доверенные мейнтейнеры к себе потащат, сами или из аур.

Можно рассчитывать, что в коммьюнити-репу не прилетит условный майнер

Можно, разрешаю

В конец достали тупые зависимости в openSUSE.

Будто в остальных дистрах не тупо.

Были ли факапы?

Нет за последние 5 лет. О необходимости человеческого вмешательства (после обновления определенного пакета) пишут на главной странице проекта, очень редко.

xDShot ★★★★★
()
Ответ на: комментарий от gutaper

Почему не Gentoo?

Вырос :)

Это насколько нужно было вырасти, учитывая, что всем моим знакомым гентушникам уже за 35 и все с детьми (от 1 до 3). У всех присутствующих здесь генту-разработчиков, аналогичная ситуация, наверняка.

Ты на пенсию выходишь?

grem ★★★★★
()
Ответ на: комментарий от xDShot

Будто в остальных дистрах не тупо.

Посмотрел выборочно - не настолько тупо, как в сусе :)

gutaper ★★★★★
() автор топика
Ответ на: комментарий от grem

Ладно, иначе: обленился. Хочу, чтобы все паковали за меня, паковали хорошо и своевременно. И чтобы была защита от возможности вандализма (низкий порог входа, нет проверок того, что добавляют - васян-пубертатник насует майнеров)

Вот так вот дофига я хочу :)

gutaper ★★★★★
() автор топика
Ответ на: комментарий от gutaper

Manjaro testing оперативно даёт свежие пакеты, при этом ничего не ломая. Говорят, даже в unstable ничего не ломается, но проверять как-то не хочется.

Deleted
()
Ответ на: комментарий от xDShot

рецепт сборки

Или откуда тащятся бинари. Обычно есть проверка по хэш сумме, но иногда ее убирают.

anonymous
()
Ответ на: комментарий от Midael

Почитал. Видимо или умерить хотелки или топать в бюрократию дебиана

gutaper ★★★★★
() автор топика
Ответ на: комментарий от Midael

Школодистр это вот

Занятно. Спасибо за ссылку

gutaper ★★★★★
() автор топика
Ответ на: комментарий от Thetan

Я и до этого пробовал свалить. Но возвращался спустя короткое время.

Сейчас в край достало, что базовая система попилена хорошо. Зато потом наваливается хрень всякая. Дали людям recommends. Но нет. Будем тупо ставить requires.

А учитывая, что даже на готовый реквест бампа версии никто не реагирует (в проект, из которого только потом уходит в factory) уже месяц...перспектива добиться пересмотра зависимостей вообще призрачна.

gutaper ★★★★★
() автор топика

Все на честном слове, типа «один апрувит коммиты другого»

Весь OpenSource построен на вере, что какой-то другой умный чувак прочитал исходник того софта, который ты используешь. И на вере в то, что этот чувак или чуваки действительно настолько умны, что не пропустили баги, бекдоры, уязвимости и прочее. Поэтому это выбор каждого, в какой дистр верить.

В конец достали тупые зависимости в openSUSE. Сваливаю.

В копилку логичных причин смены дистрибутива. «В конец достали дефолтные обои, сваливаю». «В конец достала дефолтная тема обоев, сваливаю».

Alve ★★★★★
()

Пользуюсь кроме основных реп и archlinuxcn и archlinuxfr, надежда на миллион китайцев, что не пропустят гадость )

One ★★★★★
()
Ответ на: комментарий от Alve

Ты предлагаешь пересобирать все для себя? Ты в курсе что хрен добьешься пересмотра зависимостей в сусе?

Вполне логичная причина. Если бы я хотел все компилять, я бы не искал бинарную замену. А таких случаев в сусе полно. Держать и следить за тучей пакетов в home репе - нахрена оно надо тогда? Проще сменить, чем перемогать, непойми ради чего

gutaper ★★★★★
() автор топика
Ответ на: комментарий от dadd

Не, альт не хочу. Смотрю или дебиан или арч

gutaper ★★★★★
() автор топика
Ответ на: комментарий от gutaper

Чем тебе не угодили «ненужные» зависимости?

anonymous
()
Ответ на: комментарий от anonymous

В основном китайцы шустро aur бинарниками осваивают. Если не очень быстрые тонкие клиенты, то прекрасная репка.

https://repo.archlinuxcn.org/

Оттуда например ставил vivaldi с кодеками, acestream, chrome, skype, teamviewer. tor, palemoon, anbox, qt4, whatsapp. Собранная и часто обновляемая lxqt-git из github-а проекта ну и остальное овердохрена

One ★★★★★
()
Ответ на: комментарий от gutaper

еще отправил реквест

Это обычное дело. Забей на баги и обратную связь. Что поделать.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.