Det har gått omtrent fire år siden jeg byttet til Manjaro. Noe av skylden ligger hos Canonical og deres tyranni, som blant annet ting inkluderer snap-pakkene deres. Blant de andre grunnene kan jeg si at jeg rett og slett prøvde et annet alternativ for å ikke publisere så mye om Ubuntu og AUR, et repository som har absolutt alt. Det sies til og med at hvis det ikke er i AUR, finnes det ikke for Linux. Men dette repositoryet er fellesskapseid, og det har sine farer.
I Manjaro-forumene er det mange spørsmål om Arch User Repository, og blant svarene finner vi vanligvis at støttes ikkeFaktisk støttes det ikke av Arch Linux heller. Hva mener du med at det ikke støttes? Vel, det er veldig enkelt: det støttes, ellers ville det ikke eksistert, men de gjør det klart at pakkene lastes opp av bidragsytere og ikke blir gjennomgått på noen måte. Det er mulig, men ikke veldig sannsynlig, at det som nettopp skjedde kan skje.
Firefox og andre AUR-nettlesere med skadelig programvare
Gjennom denne uken, en bruker lastet opp skadelige pakker fra firefox-patch-bin, librewolf-fix-bin og zen-browser-patched-bin. Pakkene er for Firefox-baserte nettlesere, og -bin-utvidelsen betyr vanligvis at den allerede er kompilert, noe som sparer tid under installasjonen. Disse pakkene endte opp med å installere en binærfil fra et GitHub-repositorium som viste seg å være en trojaner som ga ekstern tilgang.
AUR-administratorene oppdaget dette omtrent 48 timer senere og tok de nødvendige tiltakene. Videre, som forklart i advarsel, anbefaler å fjerne pakkene fra listen ovenfor hvis de har blitt installert.
Har noe endret seg?
Nei. Og det er «bra» at det skjedde. Dette fungerer som advarsel om hva som kan skje i AUR, men det har også vært lignende tilfeller i Ubuntu. For å gi noen eksempler har Snap Store, eid av Canonical, sett noen apper med skadelig programvare snike seg inn, og En bruker endret Ubuntu-installasjonsprogrammet for å vise støtende meldinger.
Dette kan skje i samarbeid, når noen [sett inn fornærmelsen din her] bestemmer seg for å gjøre disse tingene. Men det gode med åpen kildekode-programvare og dens fellesskap er at det er mange øyne som ser på, og Det er ikke det vanligste at noe slikt når sluttbrukeren..
Når de analyserer programvare, pleier de å velge mindre populære programmer – populære programmer analyseres oftere – i en slik grad at de ikke bare velger komplette nettleserpakker, men også oppdateringer som sjelden vil bli installert. Firefox finnes i de offisielle arkivene til de fleste Linux-distribusjoner, og både LibreWolf og Zen Browser har sine tilsvarende -bin-pakker lastet opp av noen tilknyttet prosjektet.
Dette siste punktet er viktig. Når vi skal installere en pakke fra AUR, Det er verdt å sjekke ut utviklerens lenker.Ofte er det de som laster opp pakken selv. Det er også verdt å sjekke pakkenavnet: zen-browser-bin er ikke det samme som skadevareoppdateringen. Stor skjerm Den er lengre, med en kjede som må sjekkes i sin helhet for å sikre at utviklerversjonen er installert.
Uansett er dette et bevis på at Linux ikke er så sikkert som mange tror.