Come posso indagare / confermare l'identità di un manutentore PPA (ad esempio, Chromium Team)?

8

Il Chromaum Stable PPA (come trovato qui: ppa: chromium-daily / stable) è gestito da Chromium Team (https://launchpad.net/~chromium-team). Presumo che si tratti di sviluppatori di "Google" Chromium? In tal caso, suppongo che questo PPA sia molto sicuro e affidabile.

Ma c'è una procedura specifica o un metodo di indagine che dovrei / posso fare per confermare l'identità del manutentore? A quanto ho capito (o almeno ho letto), chiunque può creare un PPA "Chromium Team". Per sicurezza e sicurezza, mi piacerebbe imparare come confermare l'identità dei manutentori PPA, in particolare i manutentori "di grande nome" come Google o Mozilla.

    
posta Sam 15.07.2011 - 16:57

1 risposta

4

Il "Chromium Team" in Launchpad sono sviluppatori di Ubuntu, non sviluppatori di Google (tranne uno, che lavora su Chromium su Google). Puoi vedere ciò osservando l'appartenenza al team:

Il modo in cui determineresti se i manutentori upstream sono attivi in ​​un team è vedere se riconosci i nomi (o gli indirizzi email). Per i grandi progetti come Mozilla e Chrome, dove gli sviluppatori di Ubuntu lavorano con i loro rispettivi upstream in generale, mi fido di loro.

Ad esempio, il team che esegue Firefox PPA è lo stesso team che gestisce Firefox nella distribuzione e il team che gestisce Chromium PPA è anche lo stesso team che gestisce Chromium nella distribuzione.

Non c'è davvero alcun modo per determinare come "affidabile" un PPA è su una glace (che è il motivo per cui molte persone di solito raccomandano di non fidarsi di loro di default). Al momento non esiste un modo reale per farti sapere quanto è "ufficiale" un PPA a meno che non venga menzionato esplicitamente da un upstream as affidabile (vedi come XBMC raccomanda un PPA in quel collegamento) o riconosci le persone in una squadra. Nell'open source poiché tutto è fatto nella fiducia aperta è qualcosa che si guadagna da persone basate sul comportamento. Ad esempio, mi fido di qualcuno che lavora in Mozilla per scrivere il mio browser e mi fido di qualcuno che è uno sviluppatore di Ubuntu per confezionarlo correttamente poiché entrambe le organizzazioni hanno un modello di revisione tra pari.

I singoli PPA sono un'altra questione, non c'è alcuna garanzia che non possano rompere nulla, ma ciò non significa che ognuno di essi sia automaticamente cattivo. Chris parla di questo aspetto della sicurezza PPA in questa risposta:

risposta data Jorge Castro 15.07.2011 - 17:02

Leggi altre domande sui tag