Comment puis-je enquêter / confirmer l'identité d'un responsable de PPA (par exemple, l'équipe Chromium)?

8

Le Chromium Stable PPA (comme ici: ppa: chrome-daily / stable) est maintenu par Chromium Team (https://launchpad.net/~chromium-team). Je suppose que ce sont les développeurs de Chrome de "Google"? Si c'est le cas, je suppose que cet APP est très sûr et digne de confiance.

Mais y a-t-il une procédure ou une méthode d'enquête spécifique que je devrais / peux faire pour confirmer l'identité du responsable? Si je comprends bien (ou du moins l'ai lu), n'importe qui peut créer un PPA "Chromium Team". Pour des raisons de sécurité, j'aimerais apprendre à confirmer l'identité des responsables de PPA, en particulier les responsables de "grands noms" comme Google ou Mozilla.

ppa security packaging software-sources community Sam
la source

Réponses:

4

La "Chromium Team" dans Launchpad sont des développeurs Ubuntu, pas des développeurs Google (sauf un, qui travaille sur Chromium chez Google). Vous pouvez le voir en regardant la composition de l'équipe:

La façon dont vous détermineriez si les mainteneurs en amont sont actifs dans une équipe est de voir si vous reconnaissez les noms (ou adresses e-mail). Pour les grands projets comme Mozilla et Chrome où les développeurs Ubuntu travaillent avec leur amont respectif en général, je leur fais confiance.

Par exemple, l'équipe qui exécute le Firefox PPA est la même équipe qui gère Firefox dans la distribution, et l'équipe qui gère le Chromium PPA est également la même équipe qui maintient Chromium dans la distribution.

Il n'y a vraiment aucun moyen de déterminer le degré de «fiabilité» d'un AAE (c'est pourquoi la plupart des gens recommandent généralement de ne pas leur faire confiance par défaut). Actuellement, il n'y a aucun moyen réel de savoir à quel point un AAE est «officiel», sauf s'il est explicitement mentionné par un amont comme digne de confiance (voir comment XBMC recommande un APP dans ce lien) ou si vous reconnaissez les membres d'une équipe. En Open Source, car tout se fait dans la confiance ouverte, c'est quelque chose qui est gagné par les gens en fonction de leur comportement. Par exemple, je fais confiance à quelqu'un qui travaille chez Mozilla pour écrire mon navigateur et je fais confiance à quelqu'un qui est un développeur Ubuntu pour l'empaqueter correctement car les deux organisations ont un modèle d'examen par les pairs.

Les AAE individuels sont une autre affaire, il n'y a aucune garantie qu'ils ne casseront rien, mais cela ne signifie pas que chacun est automatiquement mauvais. Chris en parle un peu sur la sécurité PPA dans cette réponse:

Jorge Castro
la source
Donc, essentiellement, à moins que je sache que les noms qui apparaissent dans les «membres» sont fiables, je ne peux jamais être sûr que le PPA est sûr? Jorge, quelle est la différence entre le Chromium PPA et le repo Universe de Chromium? Je suppose que le repo Universe de Chromium est également maintenu par les développeurs Ubuntu?
Sam
Donc, essentiellement, à moins que je sache que les noms qui apparaissent dans les "Membres" sont fiables, je ne peux jamais être sûr que le PPA est sûr - vrai, mais la même chose s'applique à tous les logiciels installés à partir d'Internet. Vous ne savez pas non plus que chaque nom de la liste des responsables Ubuntu est digne de confiance.
@Sam J'ai mis à jour ma réponse, n'hésitez pas à poser des questions sur les différences entre le chrome du PPA et l'univers en tant que nouvelle question.
Jorge Castro
@Sam: Je crois que votre question n'a pas reçu de réponse appropriée, donc je vais prendre une fissure. En général, si vous connaissez le groupe d'emballage et que vous lui faites déjà confiance, c'est le plus rapide. Je veux aussi mentionner, YMAK que nous, dans la communauté, faisons les choses de manière «libre» ... ou du moins de manière «ouverte» ... Vous avez toujours la possibilité de réviser le code vous-même. Launchpad nécessite que toutes les sources soient téléchargées signées, ce qu'il vérifie ensuite à partir d'une clé gpg fournie précédemment. Vous pouvez donc être sûr que le package source créé à l'origine est le même que celui que vous téléchargez.
JM Becker