Apt
很難理解包管理器儲存庫?
我目前開始在終端(MacOS)中玩耍,並學習充分利用它。我知道 Homebrew 是 MacOS 上非常受歡迎的替代包管理器,所以我決定研究一下。
我安裝了軟體,一切都很好,我可以使用它。但通常有兩件事我很難弄清楚。
一般來說,我不知道包經理從哪裡得到他們的包?例如,如果我要通過 APT 或 HB 下載 firefox,他們從哪裡獲取軟體包?
apt-get install firefox brew cask install firefox當我訪問 Mozillas 網頁並下載 Firefox 時,我知道他們只是將文件放在他們的一台伺服器上,但上述情況也是如此嗎?在這種情況下,它是原始的開發人員伺服器還是 github,因為它似乎與 HB 一起使用?
另外,當我從網站下載文件時,我通常知道 Mozilla 是一家信譽良好的公司,他們的文件是安全的。但是我怎樣才能確保我通過 APT 或 HB 獲得的文件也是安全的呢?
PS。我知道這與必須匹配的 SHA 密鑰有關。
軟體的維護者將軟體打包為某種格式,並將其上傳到伺服器,該伺服器旨在供所有軟體包管理器使用者訪問。
當您從電腦執行包管理器時,它將連接到伺服器並將包從伺服器下載到您的電腦,然後安裝它。
Homebrew、apt、pacman、dnf、AppStore、Google Play 商店、Microsoft Windows 應用商店。他們都以這種方式工作。
如何確保通過 APT 或 HB 獲得的文件也是安全的?
安全不是一個定義明確的概念。您確保文件的字節由受信任的人創建,而不是由任何其他黑客更改。
因為你信任你的包管理器,它的配置文件會連接受信任的伺服器,並且某種數字簽名或 HASH 技術將確保你獲得由受信任的人創建的包。