我该怎么检查PKGBUILD？

Question

使用AUR时，您需要手动验证PKGBUILD文件和安装脚本。

你到底该怎么做呢？哪些是需要注意的危险信号，合法的包有什么可做的呢？

通常情况下，我看到的包下载了一些脚本或档案，然后运行里面的东西。PKGBUILD本身似乎并没有做什么坏事，但它正在用数百个文件对一个归档文件进行卷曲，然后运行它们。除了PKGBUILD和安装脚本之外，大多数AUR工具甚至没有查看任何东西的方法，并且期望您在这些基础上做出决定。我应该搜索下载的文件，花几个小时(或几天)阅读所有的代码(这很可能超出了我自己的编程知识)，然后回来“决定”安装AUR软件包吗？

Answer 1

PKGBUILD只是bash脚本。它们被设计成可读的。

Arch有一个不同功能指南，以及您希望在每个中看到的内容。

这里的奇怪变化，特别是在prepare或install函数中，应该仔细检查。删除与$HOME或$PATH有关的文件或安装应该受到怀疑和充分调查。

其中包括验证键和完整性校验和，这确保了您下载的源代码是有效的。Makepkg将警告您，如果其中任何一个失败，这将是一个巨大的红旗，不能继续。

您还可以阅读Arch包装标准来了解如何创建PKGBUILD。

至于实际的上游源，假设它是有效的，这是一个只有您可以进行的调用。有恶意软件在野外，但值得信赖的用户做了出色的工作，以防止它的8月。如果您使用的是来自其他来源的PKGBUILD，那么您是自己使用的。

还有一些因包装机错误而损坏的PKGBUILD会带来灾难性的后果。因此，在运行它们之前，尽可能地阅读它们是有意义的。