Les PPA sont-ils sûrs d'ajouter à mon système et quels sont les "drapeaux rouges" à surveiller?

280

Je vois beaucoup de programmes intéressants qui ne peuvent être obtenus qu'en ajoutant un "PPA" au système, mais si je comprends bien, nous devons rester dans les "dépôts" officiels pour ajouter des logiciels à notre système. .

Y a-t-il un moyen pour un novice de savoir si un "PPA" est sûr ou s'il devrait être évité? Quels conseils l’utilisateur devrait-il connaître lorsqu’il s’agit d’un AAE?

    
posée Rob 17.04.2011 - 18:31
la source

8 réponses

201

PPA ( Archive de paquets personnels ) est utilisé pour inclure un logiciel spécifique sur votre Ubuntu, Kubuntu ou tout autre compatible PPA. distro. La " sécurité " d’un PPA dépend principalement de trois facteurs:

  1. Qui a créé le PPA - Un PPA officiel de WINE ou LibreOffice comme ppa: libreoffice / ppa et un PPA que j'ai créé moi-même ne sont pas les mêmes. Vous ne me connaissez pas en tant que responsable de la PPA, donc le problème de confiance et de sécurité est TRÈS faible pour moi (puisque j'aurais pu créer un paquet corrompu, un paquet incompatible ou autre), mais pour LibreOffice et le PPA , QUI lui donne un certain filet de sécurité. Ainsi, en fonction de la personne qui a effectué la PPA, combien de temps il a réalisé et maintenu l'APP influencera-t-il un peu la sécurité de l'APP pour vous. Les PPA mentionnés ci-dessus dans les commentaires ne sont pas certifiés par Canonical.

  2. Combien d'utilisateurs ont utilisé le PPA - Par exemple, j'ai un PPA à partir de lien dans mon compte. PPA personnel. Souhaitez-vous me faire confiance avec 10 utilisateurs qui confirment avoir utilisé mon PPA, dont 6 disent que c'est nul que celui que Scott Ritchie propose en tant que ppa: ubuntu-wine / ppa sur le site officiel de winehq. Des milliers d'utilisateurs (y compris moi) utilisent son PPA et font confiance à son travail. C'est un travail qui a plusieurs années de retard.

  3. Quelle est la mise à jour de la PPA - Supposons que vous utilisez Ubuntu 10.04 ou 10.10 et que vous souhaitiez utiliser cette PPA spéciale. Vous découvrez que la dernière mise à jour de cet PPA a eu lieu il y a 20 ans. Les chances que vous avez d'utiliser ce PPA sont nulles. Pourquoi?. Parce que les dépendances de paquetage dont PPA a besoin sont très anciennes et que les mises à jour changent tellement de code qu'elles ne fonctionneront pas avec le PPA et éventuellement briser votre système si vous installez l'un des paquets de ce PPA sur votre système.

    La mise à jour d’un PPA influe sur la décision de l’utiliser s’il souhaite utiliser CELA. Sinon, ils préféreraient en chercher un autre plus à jour. Vous ne voulez pas Banshee 0.1 ou Wine 0.0.0.1 ou OpenOffice 0.1 Beta Alpha Omega Thundercat Edition avec la dernière version d'Ubuntu. Ce que vous voulez, c'est un PPA mis à jour avec votre Ubuntu actuel. Rappelez-vous qu'un PPA mentionne pour quoi la version d'Ubuntu est faite ou que plusieurs versions d'Ubuntu ont été faites.

    À titre d’exemple, voici une image des versions prises en charge dans le PPA de Wine:

    Ici, vous pouvez voir que cette PPA est prise en charge depuis les dinosaures.

    Une mauvaise chose à propos de la mise à jour d'un PPA, si le responsable de PPA a tendance à introduire dans le PPA la version la plus récente, la plus performante et la plus avancée d'un package spécifique. L'inconvénient est que si vous testez le dernier, vous allez trouver des bogues. Essayez de vous en tenir aux PPA qui sont mis à jour vers une version stable et non une version instable, de test ou de développement, car elle pourrait contenir / contiendrait des bogues. L'idée d'avoir le dernier est aussi de tester et de dire quels problèmes ont été trouvés et de les résoudre. Les PPA quotidiens de Xorg et les PPA de Daily Mozilla en sont un exemple. Vous obtiendrez environ 3 mises à jour quotidiennes pour X.org ou Firefox si vous obtenez les quotidiens. Ceci est dû au travail que vous avez mis en place et si vous utilisez leurs PPA quotidiens, cela signifie que vous voulez aider à la recherche ou au développement de bogues, et PAS à un environnement de production.

En gros, restez avec ce 3 et vous serez en sécurité. Recherchez toujours le créateur / mainteneur de la PPA. Vérifiez toujours si de nombreux utilisateurs l'ont utilisé et voyez toujours à quel point le PPA est mis à jour. Des lieux tels que OMGUbuntu , Phoronix , Slashdot , The H , WebUp8 et même ici dans AskUbuntu sont de bonnes sources pour trouver de nombreux utilisateurs et articles parlant et recommandant des PPA qu'ils ont testé.

Exemples de PPA stables - LibreOffice, OpenOffice, Banshee, Wine, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb, VLC sont de bons PPA sûrs de mon expérience.

PPA semi-stable - Le PPA X-Swat est un PPA intermédiaire entre la limite hémorragique et la stabilité.

PPA Bleeding Edge : XPA-Edgers est un PPA à la pointe de la technologie, même si je dois mentionner qu’après 12.04, ce PPA est devenu de plus en plus stable. Je le marquerais tout de même comme étant à la pointe de la technologie, mais il est suffisamment stable pour les utilisateurs finaux.

PPA sélectionnable - Handbrake propose ici ici un moyen de choisir version ou voulez-vous la version à la pointe de la technologie (également appelé Snapshot). Dans ce cas, vous pouvez sélectionner ce que vous voulez utiliser.

Notez que dans le cas de l’utilisation, par exemple, du ppa X-Swat avec le PPA Xorg-Edgers, vous obtiendrez un mix entre les deux (avec la priorité vers Xorg-Edgers). C'est parce que les deux essaient d'inclure presque les mêmes paquetages, ils vont donc se remplacer les uns les autres et seule la plus récente sera affichée dans vos référentiels (sauf si vous lui dites manuellement de récupérer le paquet de X-Swat). >

Certains PPA peuvent mettre à jour certains de vos packages lorsque vous les ajoutez à votre référentiel car ils écraseront avec leur propre version un package spécifique pour que le logiciel PPA fonctionne correctement sur votre système. Cela pourrait être des paquets de code, des versions de python, etc. D'autres, comme le PPA de LibreOffice, supprimeront toute existence d'OpenOffice de votre système pour installer les paquets LibreOffice. Lisez essentiellement ce que les autres utilisateurs ont commenté sur un paquet spécifique et lisez également si le paquet est compatible avec votre version d'Ubuntu.

Comme le suggère le commentaire ci-dessous de Jeremy Bicha, certaines avancées (les PPA qui restent très à jour, y compris l’ajout de logiciels de qualité Alpha, Beta ou RC dans le PPA) pourraient endommager tout votre système (dans le pire des cas). Jeremy mentionne un exemple de plusieurs.

    
réponse donnée Luis Alvarado 17.04.2011 - 19:57
la source
55

Pour développer des PPA sur le tableau de bord, le contributeur doit avoir signé le code de conduite d'ubuntu . Cela signifie que le développeur doit respecter un ensemble minimum de normes.

Habituellement, les gens devraient consulter les ubuntuforums pour savoir qui a utilisé des ppa particuliers et s’ils peuvent causer des problèmes.

Pour un "novice" ou un "noob", le meilleur conseil que je puisse vous donner est d'éviter les PPA jusqu'à ce que vous soyez certain de comprendre certaines choses sur la ligne de commande, les messages d'erreur potentiels et la façon de diagnostiquer les problèmes. / p>

Pour supprimer les problèmes de ppa, vous pouvez utiliser la plupart du temps " ppa_purge "

Si vous vous sentez nerveux, envisagez une sauvegarde d'image de votre ordinateur avec un outil tel que clonezilla . De cette façon, si les choses tournent mal et que vous ne pouvez pas le résoudre, au moins vous avez un moyen rapide de restaurer votre ordinateur comme il était avant de commencer à jouer.

Cela étant dit, les PPA sont extrêmement utiles pour obtenir les dernières versions du logiciel - en particulier pour ceux qui n'essayent pas de mettre à jour tous les 6 mois et de conserver la version LTS d'ubuntu.

    
réponse donnée fossfreedom 17.04.2011 - 19:27
la source
21

Comme il a déjà été dit, il ne s’agit pas seulement d’un problème de logiciel malveillant. Il se peut également que certains logiciels soient encore en phase de test et non prêts à être utilisés en production. Si vous l’installez et que vous vous y fiez pour que le travail soit terminé, vous risquez de constater qu’il est bogué, peu fiable et peut tomber en panne - vous laissant sans travail.

Certains peuvent ne pas bien s’accorder avec d’autres aspects d’Ubuntu, tels que Unity ou Gnome, causant des problèmes difficiles à tracer, voire rendant votre système instable.

Ce n’est pas parce que le logiciel est mauvais, mais parce qu’il n’a peut-être pas encore été complètement testé ou parce qu’il a été mis à la disposition Donc, vous devriez faire preuve de prudence, bien que certaines soient vraiment très bonnes.

Il y a un certain nombre de mois, j'ai installé un paquet recommandé à partir d'un PPA particulier, et il a suffisamment détruit mon système pour que je doive réinstaller Ubuntu. J'étais un nouvel utilisateur et je ne savais pas quoi faire d'autre; avec un peu plus de connaissances, j'aurais pu résoudre le problème et le restaurer sans faire de réinstallation (même si cela m'a été utile pour apprendre Ubuntu, mais si j'avais travaillé sur ma machine, je l'aurais perdu) .

Faites donc attention, posez des questions, effectuez des sauvegardes fréquentes (!!!) et sachez qu’il est peu probable qu’il s’agisse d’un logiciel malveillant (mais pas impossible).

    
réponse donnée Kelley 01.12.2011 - 21:52
la source
17

Toutes les préoccupations énumérées par d’autres ici sont extrêmement importantes à comprendre. Cela dit, comme il s’agit d’une source ouverte, nous pouvons dire exactement ce que le PPA a changé depuis la version du package dans Ubuntu. Nous utiliserons le PPA de cette copie comme un exemple.

D'abord, nous allons récupérer le code source du PPA dget , un outil qui téléchargera tous les éléments d'un paquet source Debian avec un lien vers le fichier dsc :

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

J'ai trouvé ce lien en cliquant sur "Afficher les détails du package":

Et puis:

Ensuite, nous obtiendrons la source du paquet dans l’archive Ubuntu:

apt-get source unity

Enfin, nous utiliserons debdiff pour voir les différences entre les sources des deux packages:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

La sortie de cette commande a environ trois cents lignes de long, donc je vais la mettre sur un pastebin plutôt que directement dans la fenêtre. Maintenant, je ne peux pas attester de la qualité du code, car je ne connais pas vraiment le C ++, mais il semble faire ce qu'il prétend et non rien de malveillant.

    
réponse donnée andrewsomething 05.06.2012 - 16:14
la source
13

Un PPA est un dossier Web contenant des logiciels que vous pouvez installer. Ce n'est vraiment pas beaucoup plus compliqué que ça. Lorsque vous installez un package, vous le faites avec les privilèges root et le package a des scripts qui sont exécutés. Ils sont donc exécutés en tant que root. Cela signifie que l'installation de tout logiciel est dangereuse et que vous devez faire confiance au développeur ou au distributeur.

Une archive appropriée, PPA ou autre, est interrogée régulièrement pour les mises à jour des logiciels que vous avez installés. Le "problème" avec cela est que n'importe qui peut fournir un nouveau logiciel que vous avez installé. Par exemple, vous pouvez ajouter un PPA pour obtenir un thème intéressant et des mises à jour automatiques de ce thème. Mais une fois que vous avez ajouté ce référentiel, le propriétaire peut ajouter un package openssh-server corrigé, par exemple, et il apparaîtra comme une mise à jour dans Ubuntu. Cela peut être fait un an après avoir ajouté le PPA, vous devez donc faire attention aux mises à jour.

Le système PPA empêche toutefois les tiers de modifier les packages, donc si vous faites confiance au développeur / distributeur, les PPA sont très sûrs. Par exemple, si vous installez Google Chrome, ils ajoutent un PPA afin que vous receviez automatiquement des mises à jour. Ils ajoutent "deb lien stable". Si le serveur DNS que vous utilisez a été piraté pour pointer dl.google.com ailleurs, il est alors possible de transférer les logiciels patchés sur tous les utilisateurs ayant installé Chrome. Mais Ubuntu refuserait de les installer car ils ne pourraient pas être signés avec la clé privée Googles. Ainsi, les AAE sont très sécurisées.

Il n'est pas possible de dire qu'un PPA est sûr ou non. Cela dépend des personnes qui l'utilisent pour distribuer des logiciels. Avec le logiciel libre, les gens peuvent regarder la source et voir si elle est sûre ou non. Lorsque de nombreuses personnes utilisent une archive, comme les archives régulières d'Ubuntu, vous avez alors une évaluation par les pairs. Les petites archives avec peu d'utilisateurs ne l'ont pas, elles sont donc moins fiables. La leçon principale est que, quel que soit le système que vous utilisez, vous devez faire attention lors de l'installation du logiciel.

    
réponse donnée Jo-Erlend Schinstad 29.08.2011 - 20:50
la source
12

En vous basant sur la réponse de Luis Alvarado , vous devez être conscient de ces risques:

  • Packages malveillants : les paquets peuvent vous nuire. C'est facile pour eux car ils peuvent exécuter n'importe quel code avec des privilèges administratifs.
  • Logiciels de mauvaise qualité ou incompatibles - Une application peut ne pas fonctionner correctement. Cela peut provoquer des dommages accidentels, par exemple en interférant avec d’autres logiciels, en détruisant vos données ou en divulguant des informations privées.

et vous devriez être attentif à ces facteurs:

  • Honnêteté du mainteneur - Le responsable peut-il secrètement essayer de vous nuire?
  • Sécurité du responsable - Le responsable est-il vulnérable aux attaques d'un tiers?
  • Fiabilité du responsable - Le responsable répondra-t-il au besoin de mises à jour dans un délai raisonnable? Sont-ils résolus à maintenir le PPA à long terme?
  • Sécurité du référentiel -Les packages sont signés par le responsable?
  • Performances du logiciel - Le logiciel est-il exempt de bogues et compatible avec votre système?
réponse donnée ændrük 06.11.2013 - 18:48
la source
8

Les paquets sur les PPA ne sont pas vérifiés pour des choses comme les logiciels malveillants. Ainsi, bien que quelqu'un puisse créer pour vous quelque chose comme XBMC, il pourrait très facilement ajouter des logiciels espions / logiciels malveillants. C'est pourquoi vous ne devez pas simplement ajouter un PPA au hasard.

    
réponse donnée tgm4883 01.12.2011 - 21:16
la source
3

Lorsque vous ajoutez ppa et installez un programme à travers elle.

En gros, vous autorisez le programme à résider dans la zone exécutable autorisée (/ bin / / sbin / / usr / bin /).

Maintenant, si le programme lui-même est / a en quelque sorte un malware, le système ne s'en plaindra pas car vous êtes celui qui a ajouté ppa compte tenu de sa fiabilité.

Lorsque le programme provient des référentiels Ubuntu, ils sont d’abord vérifiés (je voudrais le dire avec précision, mais je ne le sais pas: P).

Pour tout autre ppa, c'est à vous / utilisateur de décider s'il faut lui faire confiance ou non.

    
réponse donnée wisemonkey 01.12.2011 - 21:22
la source

Lire d'autres questions sur les étiquettes