¿Cómo investigo / confirmo la identidad de un mantenedor de PPA (p. Ej., Chromium Team)?

8

El Prom Chromium Stable (como se encuentra aquí: ppa: chromium-daily / stable) es mantenido por Chromium Team (https://launchpad.net/~chromium-team). ¿Supongo que se trata de los desarrolladores de Chromium de "Google"? Si es así, asumiría que este PPA es muy seguro y confiable.

Pero, ¿hay algún procedimiento o método de investigación específico que deba / pueda hacer para confirmar la identidad del responsable? Según tengo entendido (o al menos lo he leído), cualquiera puede crear un PPA "Chromium Team". Por seguridad, me gustaría aprender cómo confirmar la identidad de los mantenedores de PPA, especialmente los mantenedores de "grandes nombres" como Google o Mozilla.

ppa security packaging software-sources community Sam
fuente

Respuestas:

4

El "Equipo de Chromium" en Launchpad son desarrolladores de Ubuntu, no desarrolladores de Google (excepto uno, que trabaja en Chromium en Google). Puedes ver esto mirando la membresía del equipo:

La forma en que determinaría si los encargados del mantenimiento están activos en un equipo es ver si reconoce nombres (o direcciones de correo electrónico). Para los grandes proyectos como Mozilla y Chrome en los que los desarrolladores de Ubuntu trabajan con sus respectivas cadenas ascendentes en general, confío en ellos.

Por ejemplo, el equipo que ejecuta el PPA de Firefox es el mismo equipo que mantiene a Firefox en la distribución, y el equipo que mantiene el PPA de Chromium es también el mismo equipo que mantiene a Chromium en la distribución.

Realmente no hay forma de determinar qué tan "confiable" es un PPA en un vistazo (razón por la cual la mayoría de las personas generalmente recomiendan no confiar en ellos de manera predeterminada). Actualmente, no hay una forma real de saber cuán "oficial" es un PPA a menos que un upstream lo mencione explícitamente como confiable (vea cómo XBMC recomienda un PPA en ese enlace) o si reconoce a las personas en un equipo. En código abierto, ya que todo se hace en la confianza abierta es algo que se gana por las personas en función del comportamiento. Por ejemplo, confío en alguien que trabaja en Mozilla para escribir mi navegador y confío en alguien que sea desarrollador de Ubuntu para empaquetarlo correctamente, ya que ambas organizaciones tienen un modelo de revisión por pares.

Los PPA individuales son otro asunto, no hay garantía de que no rompan nada, pero eso no significa que todos sean automáticamente malos. Chris habla un poco sobre esto sobre la seguridad de PPA en esta respuesta:

Jorge Castro
fuente
Entonces, esencialmente, a menos que sepa que los nombres que aparecen en los "Miembros" son confiables, ¿nunca puedo estar seguro de que el PPA es seguro? Jorge, ¿cuál es la diferencia entre el PPA de cromo y el repositorio de cromo del universo? ¿Asumo que el repositorio de Universo de Chromium también es mantenido por los desarrolladores de Ubuntu?
Sam
Esencialmente, a menos que sepa que los nombres que aparecen en los "Miembros" son confiables, nunca puedo estar seguro de que el PPA sea seguro, es cierto, pero lo mismo se aplica a todo el software instalado desde Internet. Tampoco sabe que todos los nombres en la lista de mantenedores de Ubuntu son confiables.
@Sam He actualizado mi respuesta, siéntase libre de preguntar sobre las diferencias entre Chromium del PPA y el universo como una nueva pregunta.
Jorge Castro
@ Sam: creo que su pregunta no fue respondida adecuadamente, por lo que tomaré una grieta. En general, si conoce el grupo de embalaje y ya confía en ellos, entonces eso es más rápido. También quiero mencionar, YMAK, nosotros en la comunidad hacemos las cosas de manera 'Gratis' ... o al menos de manera 'Abierta' ... Siempre tiene la opción de revisar el código usted mismo. Launchpad requiere que todas las fuentes se carguen firmadas, lo que luego verifica a partir de una clave gpg proporcionada anteriormente. Por lo tanto, puede estar seguro de que el paquete fuente creado originalmente es el mismo paquete que descarga.
JM Becker