我如何调查/确认PPA维护者（例如Chromium小组）的身份？

Chromium Stable PPA（在此处找到：ppa：chromium-daily / stable）由Chromium Team（https://launchpad.net/~chromium-team）维护。我假设这是“谷歌”的Chromium开发人员？如果是这样，我认为该PPA是非常安全和可信赖的。

但是，我应该/可以采取某种特定的调查程序或方法来确认维护者的身份吗？据我了解（或至少已经阅读），任何人都可以创建“铬团队” PPA。为了安全起见，我想学习如何确认PPA维护者的身份，尤其是Google或Mozilla等“大牌”维护者。

Launchpad中的“ Chromium团队”是Ubuntu开发人员，而不是Google开发人员（除了一名在Google Chromium上工作的开发人员）。您可以通过查看团队的成员身份来查看：

• https://launchpad.net/~chromium-team/+members#active

您确定上游维护者是否在团队中活跃的方式是查看您是否识别姓名（或电子邮件地址）。对于像Mozilla和Chrome这样的大型项目，Ubuntu开发人员通常与各自的上游合作，我相信他们。

例如，运行Firefox PPA的团队与在发行版中维护Firefox的团队相同，而维护Chromium PPA的团队也与在发行版中维护Chromium的团队相同。

确实没有办法确定PPA的“可信度”如何（这就是为什么大多数人通常建议默认情况下不信任它们）的原因。当前，除非您的上游明确指出PPA是“ 可信赖的”（请参阅XBMC在该链接中如何推荐PPA），否则您将无法真正了解PPA的“官方”身份，或者您无法识别团队中的人员。在开放源代码中，因为一切都是在开放信任中完成的，所以人们是基于行为来获得的。例如，我信任一个在Mozilla工作的人来编写我的浏览器，并且我信任一个Ubuntu开发人员的人来正确地打包它，因为两个组织都有同行评审的模型。

单个PPA是另一回事，不能保证它们不会破坏任何东西，但这并不意味着每个PPA都会自动损坏。克里斯在此答案中谈到了有关PPA安全性的内容：

• 哪个Ubuntu存储库完全安全并且没有恶意软件？