其他回购对安全的影响

Question

主要问题：

到了什么时候，我才能相信外部的、非正式的回购？盲目地将第三方repos添加到工作站是否有安全含义？然而，我一直非常怀疑包括非官方回购。

背景与我的特例：

我想安装一个朱斯。据我所知，这是一个独立的工具主机VST (用于音乐制作的虚拟仪器)。我已经找到了看上去是资料来源: github的东西，并试图在丢弃的VM中编译它。但是，在收到安装错误(我可以在这里打开一张票或稍后在github上打开)之后，我很想知道是否有人为Ubuntu打包了它。

Answer 1

有几个问题：

• 默认情况下，任何回购都可以覆盖任何包。你可以将回购钉在只允许某些包上，但这无助于反对，因为.
• 这些包可以在任何地方写入文件。他们不需要覆盖任何现有的文件，但是有很多地方你可以隐藏一个恶意文件，这一点不用提.
• 包可以在安装和删除时以根用户的身份运行任何内容。

因此，如果您不能信任存储库的控制器(或者信任他们正在检查进入回购程序的代码)，那么您就不应该使用该回购。恶意包游戏结束了。