Je souhaite utiliser un package récent d'un PPA. Comment puis-je m'assurer que le mainteneur du PPA n'a ajouté aucun code malveillant dans la version fournie ?
Réponse acceptée :
- Installer les
devscriptspaquet. - Accédez à la page PPA et recherchez les fichiers de package source associés au package qui vous intéresse. Recherchez celui qui se termine par
.dsc. - Exécutez la commande
dget url_of_dsc_file. Cela téléchargera et décompressera le code source utilisé pour construire le package dans un répertoire. Renommez ce répertoire enppa. - Obtenez le code source d'origine pour comparer le PPA. Il peut s'agir de l'archive d'origine en amont du site Web du projet qui correspond à la version que vous utilisez, ou peut-être de la version officielle Ubuntu la plus récente du package (vous pouvez trouver un lien vers cette dernière
.dscdepuishttps://launchpad.net/ubuntu/+source/source_package_name). Téléchargez et décompressez ceci, puis renommez ce répertoire enupstream, en utilisantdgetà télécharger depuis un.dscsi nécessaire. - Comparez maintenant le
upstreametpparépertoires pour voir si des modifications malveillantes ont été introduites dansppaqui n'étaient pas présents dansupstream. Vous pouvez utiliser meld pour cela, qui est une visionneuse graphique de différences.apt-get install meld, puis exécutezmeld upstream ppa. Il vous montrera quels fichiers sont nouveaux, modifiés ou supprimés, et vous pouvez double-cliquer sur un fichier pour voir les modifications détaillées dans un format facile à consulter.
Étant donné que les PPA sont créés à partir de la source sur l'infrastructure de Canonical, vous pouvez être sûr que le binaire que vous avez installé à partir du PPA correspond à la source que vous examinez comme ci-dessus, à condition que vous fassiez confiance à Canonical. Cela devrait être acceptable étant donné que vous faites confiance à Canonical pour créer Ubuntu en premier lieu.