Tous les référentiels officiels d'Ubuntu (englobant tout ce que vous pouvez trouver sur archive.ubuntu.com
ou ses miroirs, ainsi que certains autres) sont entièrement conservés. Ce moyen main
, restricted
, universe
, multiverse
, ainsi que -updates
et -security
. Tous les paquets qu'il contient proviennent soit de Debian (et ont donc été téléchargés par un développeur Debian), soit ont été téléchargés par un développeur Ubuntu; dans les deux cas, le package téléchargé est authentifié par la signature gpg du téléchargeur.
Vous pouvez donc être sûr que chaque paquet dans les archives officielles a été téléchargé par un développeur Debian ou Ubuntu. De plus, les packages que vous téléchargez peuvent être vérifiés par les signatures gpg sur les fichiers du référentiel, vous pouvez donc être sûr que chaque package que vous téléchargez a été construit sur la ferme de construction Ubuntu à partir de la source qui a été téléchargée par un développeur Ubuntu ou Debian¹.
Cela rend les logiciels malveillants carrément improbables - une personne en position de confiance devrait le télécharger et le téléchargement serait facilement traçable pour eux.
Cela laisse la question d'une infamie plus subreptice. Les développeurs en amont pourraient mettre des portes dérobées dans des logiciels autrement utiles et ceux-ci pourraient en faire l'archive - dans universe
ou multiverse
, selon la licence. Les gens effectuent des audits de sécurité des archives Debian, donc si ce logiciel devenait populaire, il est probable que la porte dérobée serait découverte.
Les paquets main
ont une vérification supplémentaire et reçoivent plus d'amour de l'équipe de sécurité d'Ubuntu.
Les AAE n'ont presque rien de tout cela. La garantie que vous obtenez d'un PPA est que les packages que vous téléchargez ont été construits sur l'infrastructure de construction Ubuntu, et ont été téléchargés par quelqu'un ayant accès à l'une des clés GPG du compte Launchpad du téléchargeur répertorié. Il n'y a aucune garantie que l'uploader est bien ce qu'il prétend être - n'importe qui peut créer un «Google Chrome PPA». Vous devez déterminer la confiance d'une autre manière pour les AAE.
¹: Cette chaîne de confiance pourrait être rompue par une intrusion importante dans l'infrastructure Ubuntu, mais c'est vrai pour tout système. Le compromis de la clé gpg d'un développeur permettrait également à un chapeau noir de télécharger des packages dans l'archive, mais comme l'archive envoie un e-mail au téléchargeur de chaque package, cela devrait être remarqué rapidement.