RPM Fusion 軟體包是否值得信賴且安裝安全?
我來自 Debian GNU/Linux,它擁有豐富的儲存庫。所以我幾乎不需要使用第三方回購。
在 Fedora 中困擾我的是需要一些難以編譯的軟體包(就時間和依賴鏈而言),這使得使用 RPM Fusion 等第三方儲存庫安裝它們更加合理。
我擔心的是 RPM Fusion 軟體包值得信賴且安裝安全嗎?
值得信賴,我的意思是在安全和隱私方面沒有被篡改,包括惡意程式碼或行為。還是有人檢查上游程式碼以確保其安全?
我習慣使用SlackBuilds和AUR等儲存庫,您可以檢查建構腳本並查看發生了什麼(正在下載等)。
是否有可能證明 RPM Fusion 軟體包是在未經操作的情況下建構的? 例如:有一個建構腳本和一個 CI CD 負責建構可以信任的包。
還有另一個(有點)類似的未回答問題:Fedora 第三方回購 RPMFusion 的安全性
RPM Fusion 軟體包是否值得信賴且安裝安全?
值得信賴,我的意思是在安全和隱私方面沒有被篡改,包括惡意程式碼或行為。還是有人檢查上游程式碼以確保其安全?
就篡改而言,有兩個方面需要考慮。首先是可安裝的二進製文件和原始碼之間的關係;有關詳細資訊,請參見下文。維護者不能上傳他們自己的二進製文件,所有的二進製文件都來自建構基礎設施。這就引出了第二個方面,就是建構的基礎設施是否可信;對此沒有簡單的答案。基礎設施使用Koji,但外人無法檢查建構基礎設施上執行的內容!
至於檢查上游程式碼,這取決於維護者。
是否有可能證明 RPM Fusion 軟體包是在未經操作的情況下建構的?
建構通常不可重現,但您可以檢查RPM Fusion git repositories中的包建構腳本,並在Koji上跟踪每個建構。單個建構(例如 這個 gstreamer plugins build)顯示它們是從哪個 git hash 建構的,並提供所有建構日誌和工件;因此,您可以嘗試在本地重現每個步驟,並將您的結果與已發布的工件進行比較。