Jak zkontrolovat, zda byl balíček Ppa zfalšován?

Chci použít nedávný balíček od PPA. Jak se ujistím, že správce PPA nepřidal žádný škodlivý kód do tam uvedené verze?

Přijatá odpověď:

1. Nainstalujte devscripts balíček.
2. Přejděte na stránku PPA a vyhledejte soubory zdrojových balíčků přidružené k balíčku, který vás zajímá. Najděte ten, který končí .dsc .
3. Spusťte příkaz dget url_of_dsc_file . Tím se stáhne a rozbalí zdrojový kód použitý k sestavení balíčku do adresáře. Přejmenujte tento adresář na ppa .
4. Získejte původní zdrojový kód, se kterým můžete PPA porovnat. Může to být původní upstream tarball z webové stránky projektu, který odpovídá verzi, kterou používáte, nebo možná nejnovější oficiální vydání balíčku Ubuntu (můžete najít odkaz na poslední .dsc z https://launchpad.net/ubuntu/+source/source_package_name ). Stáhněte a rozbalte tento adresář a poté tento adresář přejmenujte na upstream pomocí dget ke stažení z .dsc v případě potřeby.
5. Nyní porovnejte upstream a ppa adresáře, abyste zjistili, zda byly v ppa zavedeny nějaké škodlivé změny které nebyly přítomny v upstream . K tomu můžete použít meld, což je grafický prohlížeč rozdílů. apt-get install meld a poté spusťte meld upstream ppa . Ukáže vám, které soubory jsou nové, změněné nebo odstraněné, a poklepáním na soubor zobrazíte podrobné změny ve formátu, který lze snadno zkontrolovat.

Vzhledem k tomu, že PPA jsou vytvořeny ze zdroje na infrastruktuře Canonical, můžete se spolehnout, že binární soubor, který jste nainstalovali z PPA, odpovídá zdroji, který zkontrolujete, jak je uvedeno výše, za předpokladu, že Canonicalu důvěřujete. To by mělo být přijatelné vzhledem k tomu, že důvěřujete Canonicalu, že sestaví Ubuntu.