Come verificare se un pacchetto Ppa è stato manomesso?

Voglio usare un pacchetto recente da un PPA. Come posso assicurarmi che il manutentore PPA non abbia aggiunto alcun codice dannoso nella versione fornita lì?

Risposta accettata:

1. Installa i devscripts pacchetto.
2. Vai alla pagina PPA e trova i file del pacchetto sorgente associati al pacchetto che ti interessa. Trova quello che termina con .dsc .
3. Esegui il comando dget url_of_dsc_file . Questo scaricherà e decomprimerà il codice sorgente utilizzato per creare il pacchetto in una directory. Rinomina questa directory in ppa .
4. Ottieni il codice sorgente originale per confrontare il PPA. Questo potrebbe essere il tarball originale a monte del sito Web del progetto che corrisponde alla versione che stai utilizzando, o forse la versione ufficiale Ubuntu più recente del pacchetto (puoi trovare un collegamento a quest'ultimo .dsc da https://launchpad.net/ubuntu/+source/source_package_name ). Scarica e decomprimi questo, quindi rinomina questa directory in upstream , utilizzando dget per scaricare da un .dsc se necessario.
5. Ora confronta il upstream e ppa directory per vedere se sono state introdotte modifiche dannose in ppa che non erano presenti in upstream . Potresti usare la combinazione per questo, che è un visualizzatore grafico di differenze. apt-get install meld , quindi esegui meld upstream ppa . Ti mostrerà quali file sono nuovi, modificati o rimossi e puoi fare doppio clic su un file per vedere le modifiche dettagliate in un formato di facile revisione.

Poiché i PPA sono creati dal sorgente sull'infrastruttura di Canonical, puoi fidarti che il binario che hai installato dal PPA corrisponda all'origine che hai esaminato come sopra, a condizione che ti fidi di Canonical. Questo dovrebbe essere accettabile dato che ti fidi di Canonical per creare Ubuntu in primo luogo.