Answers:
每个软件包的安装脚本都具有对您系统的根访问权限,因此添加PPA或从一个软件包安装软件包的唯一行为就是PPA所有者隐含的信任声明。
因此,如果您的信任放错了地方,而PPA所有者想调皮,那会发生什么呢?
为了上载到PPA,必须使用启动板用户唯一的GPG密钥对软件包进行签名(实际上,与他们签署行为准则时所用的密钥相同)。因此,如果是已知的恶意PPA,我们将简单地禁止该帐户并关闭PPA(受影响的系统仍将受到威胁,但无论如何都无法在此点修复它们)。
在某种程度上,Launchpad的社交功能可以用作一些预防坏用户的措施-例如,具有对Ubuntu做出贡献的历史以及一些已建立的Launchpad业力的人,不太可能设置陷阱PPA。
或者,如果某人获得了不是他们自己的PPA的控制权,该怎么办?
好吧,这在威胁场景中要难一些,但可能性也较小,因为它要求攻击者同时获取启动板用户的私钥文件(通常仅在其计算机上)和解锁代码(通常是强密码,而不是强密码)。用于其他任何东西)。但是,如果发生这种情况,通常很容易使某人找出其帐户已被盗用(例如,Launchpad将通过电子邮件向他们发送有关他们未上传的软件包的信息),并且清除过程将是相同的。
因此,总而言之,PPA可能是恶意软件的媒介,但攻击者可能有更容易的方法来追随您。
没有任何保证,但是在社区支持的环境中,我们以“信仰”为荣。我已将至少20个PPA添加到我的资源中,直到现在再也没有遇到过问题。如果,正如您提到的那样,如果PPA在我的系统上植入了威胁/病毒/后门,我将以某种方式了解该消息,这是出于社区的礼貌,只需删除它即可。顺便说一句,在添加PPA之前,我总是检查其中列出了哪些软件包。
PS:Pidgin永远不会“秘密”将用户名和密码发送到服务器(也永远不会发送给第三方!)。一切均在用户同意下完成。为了保持无缝连接,Pidgin每次将登录凭据发送到服务器时都无法ping通您。一旦您提供了详细信息,就可以授权它这样做。在将Pidgin称为“后门”之前,我宁愿三思。:)