AUR을 사용하면 PKGBUILD 파일을 수동으로 확인하고 스크립트를 설치해야 합니다.
실제로 무엇을 해야 합니까/어떻게 해야 합니까? 주의해야 할 위험 신호는 무엇입니까? 합법적인 소프트웨어 패키지가 수행하는 "정상적인" 일반적인 작업은 무엇입니까?
제가 살펴본 패키지는 일반적으로 일부 스크립트나 아카이브를 다운로드한 다음 콘텐츠를 실행합니다. PKGBUILD 자체는 아무런 문제가 없는 것처럼 보이지만 수백 개의 파일이 포함된 아카이브를 컬링한 다음 실행합니다. 대부분의 AUR 도구에는 PKGBUILD 및 설치 스크립트 이외의 다른 내용을 볼 수 있는 방법조차 없으며 사용자는 이를 토대로 결정을 내리기를 기대합니다. 다운로드한 파일을 찾고 몇 시간(또는 며칠) 동안 모든 코드를 읽은 다음(내 프로그래밍 지식을 넘어설 수 있음) 다시 돌아와서 AUR 패키지를 설치하기로 "결정"해야 합니까?
답변1
PKGBUILD는 단지 bash 스크립트입니다. 읽을 수 있도록 설계되었습니다.
아치 위키에는다양한 기능 안내, 그리고 각각에서 확인해야 할 내용.
특히 기능 prepare이나 install기능에 이상한 변화가 있으면 주의 깊게 조사해야 합니다. 관련 $HOME되었거나 $PATH의심되고 완전히 조사되어야 하는 파일 또는 설치를 제거하십시오 .
여기에는 다음이 포함됩니다유효한 PGP 키다운로드한 소스 코드가 유효한지 확인하기 위한 무결성 체크섬. 이들 중 하나라도 실패하면 Makepkg가 경고를 표시하며 이는 진행하지 말아야 할 큰 위험 신호입니다.
당신은 또한 읽을 수 있습니다아치 포장 표준PKGBUILD를 만드는 방법을 알아보세요.
실제 업스트림 소스에 관해서는 그것이 유효하다고 가정하면 그것은 오직 당신만이 할 수 있는 호출입니다. 악성 코드는 어디에나 있지만 신뢰할 수 있는 사용자는 AUR이 악성 코드를 획득하는 것을 효과적으로 방지합니다. 다른 소스에서 PKGBUILD를 사용하는 경우에는 스스로 해결해야 합니다.
게다가패커 오류로 인해 손상된 PKGBUILD이는 비참한 결과를 초래할 수 있습니다. 따라서 실행하기 전에 해당 항목에 대해 가능한 한 많이 읽어 보는 것이 좋습니다.