Dois-je installer des programmes à partir d'une archive source ('.tar.gz'), du centre logiciel Ubuntu ou d'ailleurs?

28

Il existe plusieurs manières d’installer une application dans Ubuntu:

  • Vous pouvez télécharger une archive source (généralement un fichier .tar.gz ou .tar.bz2 ) et l'installer manuellement. (Voir Comment installer un fichier .tar.gz (ou .tar.bz2)? )

  • Vous pouvez télécharger un fichier .deb et l'installer manuellement à l'aide de dpkg ou du Software Center.

  • Vous pouvez rechercher l’application dans Ubuntu Software Center et l’installer ou utiliser apt avec les dépôts officiels d’Ubuntu.

  • Vous pouvez trouver un PPA ou un référentiel tiers et l'installer à partir de là.

Quels sont les avantages et les inconvénients de chaque méthode? Veuillez discuter des implications en matière de sécurité, de la fréquence des mises à jour et de la fiabilité du programme de chaque méthode dans votre réponse.

    
posée Flimm 02.12.2012 - 15:23
la source

2 réponses

19

La réponse courte est que l'installation à partir du centre logiciel Ubuntu est généralement préférable à toutes les autres méthodes . Cependant, il peut arriver que vous souhaitiez installer un programme ailleurs.

Installation depuis la source:

  • Implications en matière de sécurité : vous devez faire confiance aux auteurs du logiciel et au site Web qui héberge le téléchargement. Vous devez également vérifier que le téléchargement est effectué via HTTPS, sinon un tiers peut modifier le téléchargement.

  • Fréquence des mises à jour : vous obtiendrez toujours les informations les plus récentes et les meilleures! Les mises à jour seront aussi fréquentes que choisissent les auteurs originaux. Cependant, vous devrez vérifier vous-même les mises à jour manuellement.

  • Fiabilité : ce n’est peut-être pas aussi fiable que d’autres méthodes, car le logiciel aura subi moins de tests et n’aura peut-être même pas été testé pour Ubuntu, juste un autre Linux. distributions.

  • Facilité d’installation et de désinstallation : le plus difficile parmi toutes les options. Même les utilisateurs expérimentés peuvent éviter cette option, car ils préfèrent utiliser des paquets Debian natifs, beaucoup plus faciles à gérer.

Installation à partir d’un package .deb :

  • Conséquences pour la sécurité : identique à l’installation à partir de la source.

  • Fréquence des mises à jour : identique à l'installation à partir des sources.

  • Fiabilité : légèrement meilleure que l’installation à partir de la source. Si les auteurs ont fourni un package .deb , cela implique qu'ils ont probablement effectué des tests minimaux sur Debian ou Ubuntu.

  • Facilité d’installation et de désinstallation : très simple. Il suffit de double-cliquer et de cliquer sur "installer"! De même, facile pour la désinstallation.

Installation à partir du centre logiciel Ubuntu:

  • Implications en matière de sécurité : vous devez faire confiance aux auteurs du logiciel et aux responsables de la maintenance des référentiels Ubuntu. Dans l'ensemble, il s'agit d'une meilleure sécurité que l'installation directe à partir des sources, car le programme a été révisé dans une certaine mesure par les responsables de Debian et / ou Ubuntu. Les responsables Debian et / ou Ubuntu peuvent également patcher le programme pour corriger les failles de sécurité, si le programme est open source.

  • Fréquence des mises à jour : les responsables de Debian et / ou Ubuntu ne sélectionnent que certaines versions du logiciel. (Par exemple, ils peuvent uniquement choisir des mises à jour stables). Il y a un délai entre la publication d'un programme et son inclusion dans les dépôts Debian et / ou Ubuntu. Si vous voulez le dernier et le meilleur, ce n'est pas la meilleure option. Si vous voulez des mises à jour stables qui ont été examinées, c'est une bonne option. Les mises à jour sont proposées automatiquement via le gestionnaire de mise à jour et apt-get .

  • Fiabilité : bien meilleure que l’installation à partir de la source, car le programme a été révisé et ajusté pour Ubuntu.

  • Facilité d’installation et de désinstallation : très, très simple.

Installation depuis un PPA ou un référentiel tiers:

  • Implications en matière de sécurité : vous devez faire confiance aux auteurs du logiciel et à quiconque gère le PPA. Absolument tout le monde peut héberger un PPA, alors ne faites pas confiance à l'APP simplement parce que c'est sur Launchpad. L'utilisateur pouvait être paresseux et ne pas avoir examiné le logiciel du tout.

  • Fréquence des mises à jour : cela dépend du PPA. Vérifier les mises à jour est facile.

  • Fiabilité : souvent moins fiable que l’installation à partir du logiciel Ubuntu. Les PPA sont là pour les programmes qui ne répondent pas encore aux normes du centre logiciel Ubuntu, de sorte qu'ils sont pratiquement garantis pour être moins fiables.

  • Facilité d’installation et de désinstallation : ce n’est pas difficile à apprendre et s’adapte bien à la gestion des paquets d’Ubuntu.

réponse donnée Flimm 02.12.2012 - 15:48
la source
32
  • Fiabilité:
    • Lors de l'installation à partir d'une archive tar, le logiciel peut essayer de remplacer d'autres logiciels. Les dépendances de génération sont nécessaires et le taux d'échec du processus est élevé. Si vous installez des logiciels dont dépendent les packages dans les référentiels, cette dépendance ne sera pas satisfaite car elle n'est pas enregistrée avec dpkg , sauf si vous utilisez checkinstall pour le convertir temporairement en un paquet debian. Avec cela, vous risquez de casser dpkg . Même si le code est open-source, à moins de vous assurer qu'il n'a pas été modifié, vous devez toujours le télécharger depuis un site de confiance. Vous pouvez installer plusieurs versions du logiciel, à condition qu'il utilise des répertoires différents. Vous pouvez remplacer cela dans le fichier Make.
    • L’utilisation d’un paquet debian garantira que les fichiers n’écrasent pas ceux des autres programmes, cependant, si vous utilisez sudo dpkg -i file.deb , les dépendances doivent être installées en premier. Une fois installé de cette façon, vous ne recevrez pas de mises à jour à moins que le package ne soit également dans les référentiels, mais ce package satisfera les dépendances nécessitant ce logiciel. Il est également très probable que ce paquet donne une entrée de menu ou au moins des pages de manuel. Les paquets Debian sont généralement testés avec Lintian, ce qui garantit que les paquets respectent ou dépassent un ensemble de normes qui peuvent être assez strictes, allant jusqu’à ce que certains fichiers aient un code exécutable ou non. Plusieurs versions du même package ne peuvent pas être installées. Un package mal fabriqué peut échouer à s’installer, à supprimer, ou même à casser DPKG , ce qui entraîne des réparations difficiles, des recherches effrénées pour les sauvegardes ou même une réinstallation si le problème est grave.
    • Utiliser apt est la meilleure option si possible. Les dépendances seront automatiquement récupérées et installées, et les packages seront créés à l'aide de configurations de serveur de génération fiables sur le tableau de bord, ce qui minimisera les défaillances. Les paquets peuvent être recherchés dans aptitude ou d'autres outils de ce type, et les mises à jour seront facilement facilitées via le gestionnaire de mise à jour. Comme les dépendances proviennent également de apt , le package est plus susceptible d'interagir correctement avec les dépendances. Les packages sont testés via Lintian comme avec debs, mais les tests, combinés à des serveurs de construction très stables, permettent d'obtenir des packages encore plus stables. Comme les paquets passent par les serveurs de compilation d'Ubuntu, ils seront probablement modifiés pour s'intégrer au reste du système d'exploitation. Plusieurs versions du même package ne peuvent pas être installées. Comme les serveurs de construction d'Ubuntu sont utilisés pour les PPA, il y a moins de changement que vous diviserez de apt à cause du linitianing automatique.
  • Mise à jour:
    • Avec une archive tar, vous n’obtiendrez aucune mise à jour, à moins que le programme n’ait sa propre vérification. Avec cela, vous devrez installer ces mises à jour manuellement, et elles ne seront pas consolidées en un seul endroit. Vous pourrez probablement obtenir le code source le plus récent ou le même jour dans une archive pour compiler et installer. Si vous avez besoin d’un code qui saigne, cela peut être utile.
    • Avec debian, les paquets ne seront mis à jour que si vous en avez le dépôt. Les développeurs vont probablement créer des paquets Debian un peu en retrait de la source, mais les bêta sont souvent trouvés avec des debs en ligne.
    • Avec apt , les paquets seront mis à jour très facilement. Les mises à jour sont regroupées au même endroit, le gestionnaire de mise à jour, et sont effectuées automatiquement ou semi-automatiquement. À moins que vous ne soyez sur un alpha ou bêta d'Ubuntu, vous utiliserez des versions bien testées, même si elles sont une version ou deux derrière la source amont actuelle. Les mises à jour de sécurité seront poussées dès qu'elles seront légèrement testées afin de s'assurer qu'elles ne rendent pas la situation encore pire. Cela signifie que votre sécurité sera protégée par des mises à jour rapides, mais ces mises à jour seront vérifiées pour éviter toute perte de données.
  • Sécurité:
    • Les balles ne sont en aucun cas signées numériquement. Ils peuvent être altérés ou modifiés par des tiers malveillants. Même si vous faites un hashsum (Evitez MD5), vous devez toujours faire confiance au propriétaire du site et à l'auteur du package, car ils fournissent des sommes SHA ou MD5.
    • Les paquets Debian ne sont pas signés, cependant dpkg n'autorisera pas un paquet debian à écraser les fichiers d'un autre, donc un deb malveillant ne peut pas détruire init ou désordre avec bash en l'écrasant. Vous devriez toujours faire confiance au site Web et à l'auteur du paquet.
    • apt utilise des clés signées pour les référentiels afin qu'ils ne puissent pas être mutilés sans qu'un drapeau rouge apparaisse. Les téléchargements de PPA sont signés numériquement afin que les non-propriétaires du PPA ne puissent pas mettre en place des paquets cassés ou dangereux. Le non-écraser pour les fichiers d'un autre package est également appliqué. Bien entendu, vous devriez faire confiance au propriétaire de l’APP ou du référentiel, car des paquets non contrôlés contenant du code malveillant seront exécutés lors de l’exécution.
réponse donnée hexafraction 02.12.2012 - 15:34
la source

Lire d'autres questions sur les étiquettes