Les PPA sont-ils sécuritaires à ajouter à mon système et quels sont les «drapeaux rouges» à surveiller?

Je vois beaucoup de programmes intéressants qui ne peuvent être obtenus qu'en ajoutant un "PPA" au système, mais si je comprends bien, nous devrions rester dans les "référentiels" officiels pour ajouter des logiciels à notre système.

Y a-t-il un moyen pour un novice de savoir si un «PPA» est sans danger ou s'il devrait être évité? Quels conseils l’utilisateur devrait-il connaître lorsqu’il s’agit d’un PPA?.

Les PPA ( Personal Package Archive ) permettent d’inclure un logiciel spécifique dans votre distribution Ubuntu, Kubuntu ou toute autre distribution compatible PPA. La " sécurité " d'un PPA dépend principalement de 3 choses:

1. Qui a créé le PPA - Un PPA officiel de WINE ou de LibreOffice tel que ppa: libreoffice / ppa et un PPA que j'ai créé moi-même ne sont pas identiques. Vous ne me connaissez pas en tant que responsable PPA, le problème de confiance et de sécurité est donc TRÈS faible pour moi (car j'aurais pu créer un paquet corrompu, un paquet incompatible ou autre chose de mauvais), mais pour LibreOffice et le PPA qu'ils proposent sur leur site Web CELA lui donne un certain filet de sécurité. Donc, en fonction de la personne qui a conclu l’AvPP, le temps qu’il a mis en place pour assurer son maintien influencera un peu la sécurité de l’AVP pour vous. Les PPA mentionnés ci-dessus dans les commentaires ne sont pas certifiés par Canonical.

2. Combien d'utilisateurs ont utilisé le PPA - Par exemple, j'ai un PPA de http://winehq.org dans mon PPA personnel. Feriez-vous confiance en moi avec 10 utilisateurs qui confirment l’utilisation de mon PPA et en ont six qui disent que c’est nul que celui que Scott Ritchie propose en tant que ppa: ubuntu-wine / ppa sur le site officiel de winehq. Des milliers d'utilisateurs (y compris moi) utilisent son PPA et font confiance à son travail. C'est un travail qui a plusieurs années derrière lui.

3. Quelle est la mise à jour du PPA - Supposons que vous utilisiez Ubuntu 10.04 ou 10.10 et que vous souhaitiez utiliser That PPA spécial. Vous découvrez que la dernière mise à jour de ce PPA datait d'il y a 20 ans. Pourquoi?. Parce que les dépendances de paquetages dont PPA a besoin sont très anciennes et que les mises à jour changent tellement de code qu'elles ne fonctionneront pas avec PPA et risquent de casser votre système si vous installez l'un des packages de ce PPA sur votre système.

   Le degré d'actualisation d'un PPA influence la décision de l'utiliser s'il souhaite utiliser CE PPA. Sinon, ils préféreraient aller en chercher un autre plus à jour. Vous ne souhaitez pas utiliser Banshee 0.1, Wine 0.0.0.1 ou OpenOffice 0.1 Beta Alpha Omega Thundercat Edition avec le dernier Ubuntu. Ce que vous voulez, c'est un PPA mis à jour pour votre Ubuntu actuel. Rappelez-vous qu'un PPA mentionne pour quelle version d'Ubuntu est faite ou pour plusieurs versions d'Ubuntu.

   À titre d'exemple, voici une image des versions prises en charge dans le PPA de Wine:

   

   Ici vous pouvez voir que ce PPA est supporté depuis Dinosaures.

   Le problème avec le niveau de mise à jour d’un PPA est BAD, si le responsable de PPA a tendance à importer dans le PPA la version la plus récente, la plus avancée et la plus avancée d’un paquet spécifique. L'inconvénient est que si vous voulez tester les dernières nouveautés, vous allez trouver des bugs. Essayez de vous en tenir aux PPA mis à jour avec une version stable et non une version instable, en cours de test ou dev, car elle pourrait contenir des bogues. L’idée d’avoir ce dernier est aussi de TESTER et de dire quels problèmes ont été trouvés et de les résoudre. Un exemple de ceci est les PPA quotidiens de Xorg et les PPA quotidiens de Mozilla. Vous obtiendrez environ 3 mises à jour quotidiennes pour X.org ou Firefox si vous recevez les quotidiens. Ceci est dû au travail effectué et si vous utilisez leurs PPA quotidiens, cela signifie que vous souhaitez aider à la recherche de bogues ou au développement, et NON pour un environnement de production.

Restez fondamentalement avec ce 3 et vous serez en sécurité. Recherchez toujours le fabricant / responsable du PPA. Voyez toujours si de nombreux utilisateurs l'ont utilisé et voyez toujours à quel point le PPA est mis à jour. Des endroits tels que OMGUbuntu , Phoronix , Slashdot , The H , WebUp8 et même ici à AskUbuntu sont de bonnes sources pour trouver de nombreux utilisateurs et articles qui parlent et recommandent certains PPA testés.

Exemples de PPA stables - LibreOffice, OpenOffice, Banshee, Wine, Kubuntu, Ubuntu, Xubuntu, PlayDeb, GetDeb, VLC sont de bons PPA sécurisés de mon expérience.

PPA semi-stable - Le PPA X-Swat est un PPA situé au centre, entre la limite de saignée et la stabilité.

PPA Bleeding Edge - Xorg-Edgers est un PPA à la pointe de la technologie bien que je devrais mentionner qu’après 12.04, ce PPA est devenu de plus en plus stable. Je voudrais toujours le marquer comme avant-garde, mais il est suffisamment stable pour les utilisateurs finaux.

PPA sélectionnable - Handbrake offre ici un moyen pour l'utilisateur de choisir, voulez-vous une version stable ou voulez-vous la version à fond perdu (également appelée Instantané). Dans ce cas, vous pouvez sélectionner ce que vous voulez utiliser.

Notez que dans le cas où vous utiliserez par exemple le ppa X-Swat avec le PPA Xorg-Edgers, vous obtiendrez un résultat mixte entre les deux (avec une priorité vis-à-vis de Xorg-Edgers). En effet, les deux essayent d'inclure presque les mêmes paquets, ils vont donc se remplacer et seul le plus mis à jour s'affichera dans vos référentiels (sauf si vous lui indiquez manuellement de récupérer le paquet depuis X-Swat).

Certains PPA peuvent mettre à jour certains de vos packages lorsque vous les ajoutez à votre référentiel car ils écraseront avec leur propre version un certain package pour que le logiciel PPA fonctionne correctement sur votre système. Cela peut être des paquets de code, des versions de python, etc. D'autres, comme le PPA LibreOffice, vont supprimer toute existence d'OpenOffice de votre système pour y installer les paquets LibreOffice. En gros, lisez ce que les autres utilisateurs ont commenté sur un paquet spécifique et lisez également si le paquet est compatible avec votre version d'Ubuntu.

Comme le suggère Jeremy Bicha dans le commentaire ci-dessous, certains bords d'attaque (les PPA qui restent très à jour, y compris l'ajout de logiciels de qualité Alpha, Beta ou RC dans le PPA) pourraient potentiellement endommager l'ensemble de votre système (dans le pire des cas). Jeremy en cite un exemple.

Pour développer des PPA sur le tableau de bord, le contributeur doit avoir signé le code de conduite d'ubuntu . Cela signifie que le développeur doit respecter un ensemble minimal de normes.

Habituellement, les gens devraient alors consulter les ubuntuforums pour savoir qui a utilisé des ppa en particulier et s’ils pourraient poser des problèmes.

Pour un "novice" ou un "noob" - mon meilleur conseil est d'éviter les PPA jusqu'à ce que vous sachiez bien comprendre certaines choses concernant la ligne de commande, les messages d'erreur potentiels et la manière de diagnostiquer les problèmes.

Pour éliminer les problèmes causant ppa, vous pouvez utiliser la plupart du temps " ppa_purge "

Si vous vous sentez nerveux, envisagez une sauvegarde d'image de votre ordinateur à l'aide d'un outil comme Clonezilla . Ainsi, si les choses tournent mal et que vous ne pouvez pas les résoudre, vous disposez au moins d'un moyen rapide de restaurer votre ordinateur tel qu'il était avant de commencer à jouer.

Cela étant dit, les ppa sont extrêmement utiles pour obtenir les dernières versions de logiciels, en particulier pour ceux qui n'essaient pas de mettre à niveau tous les 6 mois et de s'en tenir à la version LTS d'ubuntu.

Comme il a déjà été dit, il ne s’agit pas uniquement de logiciels malveillants. Il est également possible que certains logiciels en soient encore au stade des tests et ne soient pas prêts pour une utilisation en production. Si vous l'installez et comptez sur lui pour faire le travail, vous constaterez qu'il est bogué, peu fiable et qu'il peut se bloquer - vous laissant sans le travail que vous avez effectué.

Certains d'entre eux pourraient également ne pas bien s'entendre avec d'autres aspects d'Ubuntu, tels que Unity ou Gnome, ce qui poserait des problèmes difficiles à localiser et pourrait même rendre votre système instable.

Ce n’est pas parce que le logiciel est mauvais, mais parce qu’il n’a peut-être pas encore été testé, ou parce qu’il a été mis à la disposition des utilisateurs, mais n’a pas encore été conçu pour être publié en tant que logiciel de production. Vous devez donc faire preuve de prudence, même si certaines sont vraiment très bonnes.

Il y a plusieurs mois, j'ai installé un paquet recommandé à partir d'un PPA particulier, et mon système a été suffisamment détruit pour que je doive réinstaller Ubuntu. J'étais un nouvel utilisateur et je ne savais pas quoi faire d'autre; avec un peu plus de connaissances, j'aurais peut-être pu résoudre le problème et le restaurer sans faire de réinstallation (bien que cela m’ait également été utile pour apprendre Ubuntu, mais si j’avais économisé sur ma machine, je l’aurais perdu) .

Soyez donc prudent, posez des questions, effectuez des sauvegardes fréquentes (!!!) et sachez qu'un logiciel malveillant est peu probable (bien que pas impossible).

Toutes les préoccupations énumérées par d’autres ici sont extrêmement importantes à comprendre. Cela étant dit, puisqu'il s'agit d'une source ouverte, nous pouvons dire exactement ce que le PPA a changé par rapport à la version du paquet dans Ubuntu. Nous utiliserons le PPA de cette copie à titre d'exemple.

Nous allons d’abord récupérer dans les sources de PPA dgetun outil qui téléchargera toutes les pièces d’un paquet source Debian à partir d’un lien vers le dscfichier:

dget -u https://launchpad.net/~anton0/+archive/unity/+files/unity_5.12-0ubuntu2~ppa1.dsc

J'ai trouvé ce lien en cliquant sur "Afficher les détails du forfait":

Puis:

Ensuite, nous aurons le code source du paquet dans l’archive Ubuntu:

apt-get source unity

Enfin, nous verrons debdiffles différences entre les sources des deux packages:

debdiff unity_5.12-0ubuntu1.1.dsc unity_5.12-0ubuntu2~ppa1.dsc

La sortie de cette commande a une longueur d'environ trois cents lignes, je vais donc la mettre sur une boîte à copier plutôt que directement dans la fenêtre. Maintenant, je ne peux pas garantir la qualité du code puisque je ne connais pas vraiment le C ++, mais il semble faire ce qu’il prétend et ne pas être malveillant.

Un PPA est un dossier Web contenant un logiciel que vous pouvez installer. Ce n'est vraiment pas beaucoup plus compliqué que ça. Lorsque vous installez un package, vous le faites avec des privilèges root et le package comporte des scripts qui sont exécutés. Ils sont donc exécutés en tant que root. Cela signifie que l’installation de tout logiciel est dangereuse et que vous devez faire confiance au développeur ou au distributeur.

Une archive apt, PPA ou autre, est interrogée régulièrement pour connaître les mises à jour des logiciels que vous avez installés. Le "problème" avec cela, est que tout le monde peut fournir un paquet de logiciel plus récent que vous avez installé. Par exemple, vous pouvez ajouter un PPA afin d’obtenir un beau thème et des mises à jour automatiques de ce thème. Mais une fois que vous avez ajouté ce référentiel, le propriétaire peut ajouter un paquet patch-openssh-server corrigé, par exemple, et il apparaîtra comme une mise à jour dans Ubuntu. Cela peut être fait un an après avoir ajouté le PPA, vous devez donc faire attention aux mises à jour.

Le système PPA empêche les tiers d’altérer les packages, cependant, si vous faites confiance au développeur / distributeur, les PPA sont donc très sûrs. Par exemple, si vous installez Google Chrome, ils ajoutent un PPA afin que vous receviez des mises à jour automatiques pour celui-ci. Ils ajoutent "deb http://dl.google.com/linux/chrome/deb/ stable main". Si le serveur DNS que vous utilisez a été piraté pour pointer dl.google.com ailleurs, il pourrait envoyer le logiciel corrigé à tous ceux qui ont installé Chrome. Mais Ubuntu refuserait de les installer car ils ne pouvaient pas être signés avec la clé privée de Google. Donc, à cet égard, les AAE sont très sécurisés.

Il n'est pas possible de dire qu'un PPA est sûr ou non. Cela dépend des personnes qui l'utilisent pour distribuer des logiciels. Avec le logiciel libre, les gens peuvent regarder la source et voir si elle est sécurisée ou non. Lorsque de nombreuses personnes utilisent des archives, telles que les archives normales Ubuntu, vous bénéficiez d'une évaluation par les pairs. Les petites archives avec peu d'utilisateurs n'ont pas cela, elles sont donc moins fiables. La leçon principale est que peu importe le système que vous utilisez, vous devez faire attention lors de l'installation du logiciel.

En vous appuyant sur la réponse de Luis Alvarado , vous devez être conscient de ces risques:

• Colis malveillants: les forfaits peuvent essayer de vous nuire. Cela leur est facile car ils peuvent exécuter n’importe quel code avec des privilèges d’administrateur.
• Logiciels de mauvaise qualité ou incompatibles: une application peut ne pas fonctionner correctement. Cela pourrait causer des dommages accidentels, par exemple en interférant avec un autre logiciel, en détruisant vos données ou en divulguant des informations confidentielles.

et vous devriez être attentif à ces facteurs:

• Honnêteté du responsable - Le responsable peut-il tenter de vous nuire en secret?
• Sécurité du responsable - Le responsable est-il vulnérable aux attaques d'un tiers?
• Fiabilité du responsable - Le responsable répondra-t-il au besoin de mises à jour dans un délai raisonnable? Sont-ils engagés à maintenir le CAÉ à long terme?
• Sécurité du référentiel —Les packages sont-ils signés par le responsable?
• Performances du logiciel - Le logiciel est-il exempt de bogues et compatible avec votre système?

Les paquets sur PPA ne sont pas vérifiés pour des choses comme les logiciels malveillants. Ainsi, même si quelqu'un peut créer quelque chose comme XBMC pour vous, il peut également très facilement ajouter des logiciels espions / malveillants. C'est pourquoi vous ne devriez pas simplement ajouter un PPA aléatoire.

Lorsque vous ajoutez ppa et installez un programme par son intermédiaire.

En gros, vous donnez la permission de résider ce programme dans la zone des exécutables autorisés (/ bin / / sbin / / usr / bin /).

Maintenant, si le programme lui-même est / a en quelque sorte un malware, le système ne s'en plaindra pas car c'est vous qui avez ajouté ppa, considérant qu'il est digne de confiance.

Lorsque les programmes proviennent des référentiels Ubuntu, ils sont d'abord vérifiés (je tiens à le dire en détail mais je ne sais pas: P), de sorte que ceux des référentiels Ubuntu sont bien sûr exempts de logiciels malveillants et de logiciels espions.

Pour tout autre ppa, c'est à vous / utilisateur de décider s'il faut lui faire confiance ou non.