Co je to AUR?

> Datum: 2024-8-26

Co je to AUR?

Arch User Repository (AUR) je sbírka souborů (balíčků aplikací) ( PKGBUILDFiles). Tyto
soubory lze použít k vytvoření archivních souborů balíčku ( .pkg.tar.zstFiles).

Tyto PKGBUILDSoubory mohou být použity pomocníkem AUR (např. yay, aurman, Pamac) nebo ručně vyrobeno pomocí
makepkg. . Výsledný archivní soubor balíčku pak může být nainstalován běžným způsobem.

Veškerý obsah na AUR je nahráván běžnými uživateli a je provedeno jen velmi málo kontroly jejich obsahu – je
na Vás, abyste ověřili, že obsah je bezpečný.

Nejlepším (nejpodrobnějším a nejpřesnějším) zdrojem informací o AUR je stránka Arch wiki
Přečtěte si prosím – Arch
User Repository
.

Nějaká žába o tom také přemýšlela i na fóru:

Původně napsaný uživatelem na officiálním fóru endeavourOS kresimir.

AUR je jedním z nejbezpečnějších způsobů instalace softwaru, jen proto, že je tak transparentní. Ale
netoleruje jen při pohledu na balíček v Pamac a kliknutí na tlačítko Build nebo dělat yay package_name
slepě. Vyžaduje to, aby uživatel věděl, co se děje. To je důvod, proč doporučuji pokusit se vytvořit alespoň
jeden balíček ručně, pochopit, co se děje, před použitím AUR pomocníka, jako je pamac nebo yay.

Yay má pěknou funkci, která vám umožní zkontrolovat soubor PKGBUILD před instalací a vidět rozdíly v souboru
PKGBUILD při aktualizaci balíčku z AUR. Neignorujte tuto funkci, je to velmi užitečné a vaše používání AUR
bude mnohem bezpečnější.

Zde je několik tipů, jak být v bezpečí pomocí AUR.

Nejprve se podívejte na balíček na
aur.archlinux.org, mrkněte na komentáře, upvotes, popularita, jméno balíčku atd. Pokud to není populární
balíček, buďte při kontrole souboru PKBUILD obzvláště opatrní. Podívejte se na datum, kdy byl balíček
naposledy aktualizován. Pokud je poměrně starý nebo aktualizován stejnou osobou a lidé ji používají, je to
téměř jistě bezpečné. Pokud se děje něco neobvyklého , bude to odstraněno z AUR poměrně rychle.

Co hledat v souboru PGBUILD?

Budete se muset naučit nějaké elementární shell skriptování, abyste pochopili, co se děje. Je to jednodušší,
než to zní.

Inspekci i souborů PKGBUILD pro zcela důvěryhodné balíčky, abyste se naučili rozpoznat dobrý soubor PKGBUILD.
Když uvidíte tucet dobrých souborů PKGBUILD a pochopíte, co se tam děje, budete mít již cit pro cokoliv, co
je mimo standart.

Hledejte něco zjevně zlomyslného, jako rm, mv příkazy, jakékoli výstupní přesměrování, jakákoli zmínka o
/dev(S podobným /dev/null, /dev/sda, /dev/zero, /dev/random), mkfs, jakékoliv volání na pacman, systemctl,
cokoliv, co se dotýká grub... takové věci.

Hledejte jakýkoliv příkaz, který dělá věci ve vašem domácím adresáři. Typicky by se stavba a instalace
balíčků nemělo dotýkat ničeho v adresáři home. Pokud najdete něco takového, buďte velmi podezřívaví a
ujistěte se, že zcela rozumíte tomu, co tento příkaz dělá.

Hledejte vše, co vypadá záměrně zamlženě. Cokoliv, co je napsáno nejasným způsobem, s mnoha semikolony,
&&S.S. a ||s.s., hodně závorek, sed, awk, atd. Typicky, dobré PKGBUILD obsahují velmi jednoduché pokyny.

Ujistěte se, že software pochází z důvěryhodného místa, ať už se jedná o binární distribuci nebo zdrojový
kód. Zkontrolujte všechny adresy URL ve skriptu, ujistěte se, že jsou oficiální stránky pro software, který
instalujete. Všechny adresy URL by měly být uvedeny úhledně na začátku souboru. Hledejte jakékoliv stahování
externích skriptů, s curl nebo wget, nemělo by být nic takového. Pozor na náhodná místa Github.

Používejte zdravý rozum.

Také, když nainstalujete něco z AUR, zvažte jeho hlasování na aur.archlinux.org, jen
abyste všichni věděli, že je to dobrý balíček. Hlasy jsou jedním z kritérií pro zahrnutí balíčků do
oficiálních repos. Pokud si všimnete něčeho škodlivého, neopomente to nahlásit. Update dobrých balíčků a
hlášení špatných je nejjednodušší způsob, jak zlepšit AUR pro každého.

Návod je převzat z
Discovery
na EndeavourOS vydán 09. března 2021.

Kankys
26.8.2024