Y a-t-il une garantie que le logiciel des PPAs de Launchpad est exempt de virus et de menaces de porte dérobée?

Le script d’installation de chaque paquet a un accès root à votre système, donc le simple fait d’ajouter un PPA ou d’installer un package à partir de celui-ci est une déclaration de confiance implicite de la part du propriétaire du PPA.

Alors, que se passe-t-il si votre confiance est mal placée et qu'un propriétaire de PPA veut être méchant?

Pour pouvoir télécharger dans un PPA, un package doit être signé par une clé GPG unique pour l'utilisateur du tableau de bord (en fait, la même clé que celle avec laquelle ils ont signé le code de conduite). Donc, dans le cas d’un PPA malveillant connu, nous nous contenterions d’interdire le compte et d’arrêter le PPA (les systèmes affectés seraient toujours compromis, mais de toute façon, ils ne seraient pas réparables).

Dans une certaine mesure, les fonctionnalités sociales de Launchpad peuvent servir de mesure préventive contre les utilisateurs malveillants - par exemple, une personne ayant déjà contribué à Ubuntu et à un karma Launchpad bien établi risque moins de piège PPA.

Ou si quelqu'un prend le contrôle d'un PPA qui n'est pas le leur?

Bien que ce soit un scénario de menace un peu plus difficile, mais aussi moins probable, car un attaquant doit obtenir à la fois le fichier de clé privée des utilisateurs du tableau de bord (généralement sur leur ordinateur) et son code de déverrouillage (généralement mot de passe fort non utilisé pour autre chose). Si cela se produit, cependant, il est généralement assez simple pour quelqu'un de comprendre que son compte a été compromis (Launchpad les enverra par exemple au sujet des paquets qu'ils ne téléchargent pas), et la procédure de nettoyage sera la même.

En résumé, les PPA sont un vecteur possible pour les logiciels malveillants, mais il existe probablement des méthodes beaucoup plus faciles pour que les attaquants vous poursuivent.

La mise en place d’un mécanisme (peut-être distribué) de classifications de confiance pour les PPA figure depuis un certain temps sur la feuille de route USC , mais elle n’a n'a pas encore été implémenté.

Il n’ya jamais de garantie, mais dans un environnement soutenu par la communauté, nous prospérons grâce à la "croyance". J'ai ajouté au moins 20 PPA à mes sources et je n'ai jamais eu de problème jusqu'à présent. Si, par hasard, et comme vous l'avez mentionné, un PPA a installé une menace / un virus / une porte dérobée sur mon système, je le saurais d'une manière ou d'une autre, grâce à la communauté et en la supprimant simplement. Et BTW, avant d'ajouter un PPA, je vérifie toujours quels paquets y figurent.

PS : Pidgin n'envoie jamais les noms d'utilisateur et les mots de passe aux serveurs (et jamais à un tiers!) "en secret". Tout est fait avec le consentement de l'utilisateur. Afin de rester connecté en toute transparence, Pidgin ne peut pas vous envoyer un ping à chaque fois qu'il envoie les identifiants de connexion aux serveurs. Il est prévu que vous l'ayez autorisé à le faire, une fois que vous lui avez fourni les détails. Je préfère penser à deux fois avant d'appeler Pidgin une "porte dérobée". :)