Wie untersuche / bestätige ich die Identität eines PPA-Betreuers (z. B. Chromium Team)?

8

Das Chromium Stable PPA (wie hier zu finden: ppa: Chrom-Daily / Stable) wird vom Chromium Team (https://launchpad.net/~chromium-team) verwaltet. Ich nehme an, das sind "Googles" Chromium-Entwickler? Wenn ja, würde ich annehmen, dass diese PPA sehr sicher und vertrauenswürdig ist.

Aber gibt es ein bestimmtes Verfahren oder eine bestimmte Untersuchungsmethode, die ich durchführen sollte / kann, um die Identität des Betreuers zu bestätigen? So wie ich es verstehe (oder zumindest gelesen habe), kann jeder eine "Chromium Team" -PPA erstellen. Aus Sicherheitsgründen möchte ich lernen, wie Sie die Identität von PPA-Betreuern bestätigen können, insbesondere von "bekannten" Betreuern wie Google oder Mozilla.

ppa security packaging software-sources community Sam
quelle

Antworten:

4

Das "Chromium-Team" in Launchpad sind Ubuntu-Entwickler, keine Google-Entwickler (mit Ausnahme eines Entwicklers, der bei Google an Chromium arbeitet). Sie können dies sehen, indem Sie sich die Mitgliedschaft des Teams ansehen:

Sie können feststellen, ob vorgelagerte Betreuer in einem Team aktiv sind, indem Sie feststellen, ob Sie Namen (oder E-Mail-Adressen) erkennen. Für die großen Projekte wie Mozilla und Chrome, in denen Ubuntu-Entwickler generell mit ihrem jeweiligen Upstream arbeiten, vertraue ich ihnen.

Beispielsweise ist das Team, das die Firefox-PPA ausführt, dasselbe Team, das Firefox in der Distribution verwaltet, und das Team, das die Chromium-PPA verwaltet, ist auch dasselbe Team, das Chromium in der Distribution verwaltet.

Es gibt wirklich keine Möglichkeit festzustellen, wie "vertrauenswürdig" eine PPA auf einem Glace ist (weshalb die meisten Leute normalerweise empfehlen, ihnen standardmäßig nicht zu vertrauen). Derzeit können Sie nicht genau wissen, wie "offiziell" eine PPA ist, es sei denn, sie wird von einem Upstream ausdrücklich als vertrauenswürdig bezeichnet (siehe, wie XBMC in diesem Link eine PPA empfiehlt) oder Sie erkennen die Personen in einem Team. In Open Source wird, da alles im offenen Vertrauen erledigt wird, etwas von Menschen verdient, die auf Verhalten basieren. Zum Beispiel vertraue ich jemandem, der bei Mozilla arbeitet, um meinen Browser zu schreiben, und ich vertraue jemandem, der ein Ubuntu-Entwickler ist, um ihn richtig zu verpacken, da beide Organisationen ein Peer-Review-Modell haben.

Einzelne PPAs sind eine andere Sache, es gibt keine Garantie dafür, dass sie nichts kaputt machen, aber das bedeutet nicht, dass jeder automatisch schlecht ist. Chris spricht in dieser Antwort ein wenig über die PPA-Sicherheit:

Jorge Castro
quelle
Wenn ich also nicht weiß, dass Namen, die in den "Mitgliedern" erscheinen, vertrauenswürdig sind, kann ich nie sicher sein, dass die PPA sicher ist? Jorge, was ist der Unterschied zwischen dem Chromium PPA und dem Universe Repo of Chromium? Ich gehe davon aus, dass das Universe Repo von Chromium auch von Ubuntu-Entwicklern gepflegt wird.
Sam
Wenn ich also keine Namen kenne, die in den "Mitgliedern" als vertrauenswürdig erscheinen, kann ich nie sicher sein, dass die PPA sicher ist - wahr, aber das gilt auch für alle über das Internet installierte Software. Sie wissen auch nicht , dass jeder Name auf der Ubuntu-Betreuerliste vertrauenswürdig ist.
@ Sam Ich habe meine Antwort aktualisiert. Fühlen Sie sich frei, nach den Unterschieden zwischen Chrom aus dem PPA und dem Universum als neue Frage zu fragen.
Jorge Castro
@ Sam: Ich glaube, deine Frage wurde nicht richtig beantwortet, also mache ich eine Pause. Wenn Sie die Verpackungsgruppe kennen und ihnen bereits vertrauen, ist dies im Allgemeinen am schnellsten. Ich möchte auch erwähnen, YMAK, dass wir in der Community Dinge auf "freie" Weise tun ... oder zumindest auf "offene" Weise ... Sie haben immer die Möglichkeit, den Code selbst zu überprüfen. Für Launchpad müssen alle Quellen signiert hochgeladen werden, die dann anhand eines zuvor bereitgestellten GPG-Schlüssels überprüft werden. Sie können also sicher sein, dass das ursprünglich erstellte Quellpaket dasselbe Paket ist, das Sie heruntergeladen haben.
JM Becker