저는 Linux 생태계를 처음 접했고 사용된 용어에 대해 약간 혼란스러워했습니다. 그런데 제가 Windows에서 Linux 배포판으로 전환한 이유는 웹에서 필요한 소프트웨어를 찾을 필요 없이 소프트웨어를 다운로드하고 설치할 수 있는 통합 패키지 관리자를 제공하기 때문입니다. 제가 현재 사용하고 있는 배포판은 Ubuntu 20.04.2.0인데 괜찮습니다. 하지만 그들이 제공하는 패키지는 약간 오래되었고 최소한 LTS 버전의 소프트웨어를 제공하더라도 불평하지 않을 것입니다. 그래서 최근 롤링 릴리즈인 Arch와 Manjaro를 접했는데, 최신 버전과 LTS 버전의 소프트웨어를 제공하기 때문에 관심이 갑니다. 기이. 다만 제가 사용하는 대부분의 소프트웨어가 커뮤니티 저장소(Node JS, Dotnet Core, gh)에 있기 때문에 조금 걱정됩니다. 다음은 Arch 문서의 인용문입니다.
커뮤니티에는 신뢰할 수 있는 사용자가 Arch 사용자 저장소에서 채택한 패키지가 포함되어 있습니다. 이러한 패키지 중 일부는 개발자가 배포에 중요하다고 간주하기 때문에 결국 코어 또는 보너스 저장소로 전환될 수 있습니다.
"신뢰할 수 있는 사용자"(그들을 존중함)가 AUR에서 "커뮤니티 저장소"로 패키지를 선택한다고 나와 있습니다. 일부 온라인 포럼과 기사를 통해 AUR을 사용하면 불필요한 일이 발생하고 심지어 컴퓨터가 바이러스 및 악성 코드에 감염될 수 있으므로 사용을 피하는 것이 좋은 습관이라는 것을 배웠습니다. 다시 한번 말하지만, 저는 Linux 세계에 처음 입문했고 Arch Linux와 그 파생 제품에 대해 전혀 모릅니다. 그렇다면 커뮤니티 저장소의 패키지를 사용하는 것이 안전한지 궁금합니다. "신뢰할 수 있는 사용자"(커뮤니티 저장소 관리자)가 커뮤니티 저장소로 변환된 AUR의 유효성과 보안을 확인합니까?
답변1
예, Archlinux의 "신뢰할 수 있는 사용자"를 신뢰할 수 있으며 일반적으로 평판이 좋은 배포 관리자를 신뢰할 수 있습니다. 그렇지 않은 경우 소프트웨어를 직접 컴파일할 수 있습니다(그러나 이 경우 소프트웨어 개발자를 신뢰해야 합니다). 저는 배포 개발자가 의도적으로 공용 저장소에 맬웨어를 퍼뜨리는 상황에 대해 잘 모릅니다.
Archlinux의 "신뢰할 수 있는 사용자"에 대하여. 그들은 단지 AUR에서 커뮤니티 저장소로 패키지를 무작위로 이동하는 전문 사용자가 아닙니다. 그들은 선출되고 AUR 패키지가 검토됩니다. 일단 선출되면 커뮤니티 저장소에 패키지를 추가하는 것을 포함하여 특별한 권한이 부여됩니다. 따라서 기본적으로 Archlinux에는 두 가지 유형의 개발자가 있습니다. 코어/추가 저장소를 "관리"하는 핵심 개발자와 커뮤니티 저장소 및 AUR 패키지 스크립트를 관리하는 신뢰할 수 있는 사용자입니다.
또한 AUR에서 커뮤니티 저장소로 이동되는 패키지는 많지 않습니다. 이는 일반적으로 누군가가 신뢰할 수 있는 사용자로 선출될 때 발생합니다. 그는 자신이 사용하는 AUR 패키지 중 일부를 커뮤니티 저장소로 이동할 수 있습니다. 수십 개의 무작위 AUR 스크립트가 매일 커뮤니티 저장소로 이동한다고 생각한다면 그것은 사실이 아닙니다.
요약하자면, 커뮤니티 저장소 패키지를 신뢰할 수 있습니다. 기본적으로 AUR 패키지(PKGBUILD 스크립트)는 모든 사용자가 업로드할 수 있으므로 "신뢰"해서는 안 됩니다.
답변2
Arch 커뮤니티 팩은 바이러스나 맬웨어로부터 안전합니까?
아니요! 그래서 왜 안돼:
대부분의 패키지는 원본 소스에서 컴파일되거나 다른 배포판에서 사용 및 추출/재패키징되므로 복잡한 빌드 스크립트, github에서 다운로드, 패치... 전체 내용을 읽으면 다른 패키지에 대해 확신할 수 없습니다! 스크립트, 패치 및 소스 파일.
따라서 AUR 스크립트가 깨끗하더라도 다른 소스의 콘텐츠가 오염될 수 있습니다.
그러나 나는 지난 10년 동안 그런 문제에 대해 읽은 적이 없습니다.