Bezpieczeństwo repozytoriów PPA

[witsu]

Przeczytałem ostatnio na jednym z portali, że w dzisiejszych czasach nie powinno się korzystać z repozytoriów PPA, bo narażają nasz komputer na niebezpieczeństwo. Autor przekonuje, że lepszym rozwiązaniem jest korzystanie ze snapów i flatpaków. Osobiście korzystam z 3 PPA, bo chcę mieć najnowsze wersje kilku programów, jednak teraz zastanawiam się czy z tego nie zrezygnować nie przejść na snapy. Choć z tego co zdążyłem zauważyć aplikacje tego typu działają zdecydowanie wolniej. Nasuwa mi się więc pytanie jak w tytule, czy repozytoria PPA mogą stanowić realne źródło zagrożenia dla systemu? Może ktoś ma jakieś doświadczenie w tym temacie. Poniżej link do wspomnianego artykułu:
https://geekorganic.wordpress.com/2020/ ... o-systemu/

[kszyhus]

Nie musisz się obawiać. Canonical pilnuje swoich repozytoriów. A co do snapa i flatpaka, to na pewno są bezpieczne bo działają w piaskownicy.

[witsu]

O repozytoria Canoniclaa jestem spokojny, podobnie jak i o snapy i flatpaki. Chodził mi o repozytoria użytkowników PPA. Korzystam z trzech takich udostępnionych na stronie ubuntuhandbook i to one budzą mój niepokój.

[Tomfoc]

Przeczytałem ostatnio na jednym z portali, że w dzisiejszych czasach nie powinno się korzystać z repozytoriów PPA, bo narażają nasz komputer na niebezpieczeństwo. Autor przekonuje, że lepszym rozwiązaniem jest korzystanie ze snapów i flatpaków...

Wiesz jak to jest z różnymi "opiniami". Nie wiemy kim jest "autor", czyje interesy reprezentuje, jakie czerpie korzyści ze swoich twierdzeń.

[arecki]

https://help.ubuntu.com/community/PPA

Security
PPAs have not undergone the same process of validation as regular ubuntu packages. End users install PPAs at their own risk. Although each key is cryptographically signed, in order to confirm an uploader, keys are not matched to specific individuals, except via their "launchpad" accounts.
Subsequently, installing a PPA should be considered to be a low-security alternative as compared to the main repository, but marginally higher security than simply installing software at random from the internet. As part of adding a PPA, you trust the developer to not only install packages, but also to allow them to provide ongoing updates.

Oczywiście nie są tak bezpieczne jak oficjalne, ale sobiście nie słyszałem, żeby PPA zostało wykorzystane do niecnych celów.
Co do snapów i flatpaków to tu też są drobne różnice co najlepiej chyba opisał sam twórca Minta w https://linuxmint-user-guide.readthedoc ... /snap.html https://blog.linuxmint.com/?p=3906 https://blog.linuxmint.com/?p=3766

Similar to AppImage or Flatpak the Snap Store is able to provide up to date software no matter what version of Linux you are running and how old your libraries are.
Criticism
Centralized control

Anyone can create APT repositories and distribute software freely. Users can point to multiple repositories and define priorities. Thanks to the way APT works, if a bug isn’t fixed upstream, Debian can fix it with a patch. If Debian doesn’t, Ubuntu can. If Ubuntu doesn’t Linux Mint can. If Linux Mint doesn’t, anyone can, and not only can they fix it, they can distribute it with a PPA.

Flatpak isn’t as flexible. Still, anyone can distribute their own Flatpaks. If Flathub decides they don’t want to do this or that, anyone else can create another Flatpak repository. Flatpak itself can point to multiple sources and doesn’t depend on Flathub.

Although it is open-source, Snap on the other hand, only works with the Ubuntu Store. Nobody knows how to make a Snap Store and nobody can. The Snap client is designed to work with only one source, following a protocol which isn’t open, and using only one authentication system. Snapd is nothing on its own, it can only work with the Ubuntu Store.

This is a store we can’t audit, which contains software nobody can patch. If we can’t fix or modify software, open-source or not, it provides the same limitations as proprietary software.
Backdoor via APT

When Snap was introduced Canonical promised it would never replace APT. This promise was broken. Some APT packages in the Ubuntu repositories not only install snap as a dependency but also run snap commands as root without your knowledge or consent and connect your computer to the remote proprietary store operated by Canonical.
Disabled Snap Store in Linux Mint 20

Following the decision made by Canonical to replace parts of APT with Snap and have the Ubuntu Store install itself without users knowledge or consent, the Snap Store is forbidden to be installed by APT in Linux Mint 20.

Note

For more information read the announcements made in May 2020 and June 2019.