Co je to AUR?

Arch User Repository (AUR) je sbírka souborů (balíčků aplikací) ( PKGBUILDFiles). Tyto soubory lze použít k vytvoření archivních souborů balíčku ( .pkg.tar.zstFiles).

Tyto PKGBUILDSoubory mohou být použity pomocníkem AUR (např. yay, aurman, Pamac) nebo ručně vyrobeno pomocí makepkg. . Výsledný archivní soubor balíčku pak může být nainstalován běžným způsobem.

Veškerý obsah na AUR je nahráván běžnými uživateli a je provedeno jen velmi málo kontroly jejich obsahu – je na Vás, abyste ověřili, že obsah je bezpečný.

Nejlepším (nejpodrobnějším a nejpřesnějším) zdrojem informací o AUR je stránka Arch wiki

Přečtěte si prosím – Arch User Repository .

Nějaká žába o tom také přemýšlela i na fóru:

Původně napsaný uživatelem na officiálním fóru endeavourOS kresimir.

AUR je jedním z nejbezpečnějších způsobů instalace softwaru, jen proto, že je tak transparentní. Ale netoleruje jen při pohledu na balíček v Pamac a kliknutí na tlačítko Build nebo dělat yay package_name slepě. Vyžaduje to, aby uživatel věděl, co se děje. To je důvod, proč doporučuji pokusit se vytvořit alespoň jeden balíček ručně, pochopit, co se děje, před použitím AUR pomocníka, jako je pamac nebo yay.

Yay má pěknou funkci, která vám umožní zkontrolovat soubor PKGBUILD před instalací a vidět rozdíly v souboru PKGBUILD při aktualizaci balíčku z AUR. Neignorujte tuto funkci, je to velmi užitečné a vaše používání AUR bude mnohem bezpečnější.

Zde je několik tipů, jak být v bezpečí pomocí AUR.

Nejprve se podívejte na balíček na aur.archlinux.org, mrkněte na komentáře, upvotes, popularita, jméno balíčku atd. Pokud to není populární balíček, buďte při kontrole souboru PKBUILD obzvláště opatrní. Podívejte se na datum, kdy byl balíček naposledy aktualizován. Pokud je poměrně starý nebo aktualizován stejnou osobou a lidé ji používají, je to téměř jistě bezpečné. Pokud se děje něco neobvyklého , bude to odstraněno z AUR poměrně rychle.

Co hledat v souboru PGBUILD?

Budete se muset naučit nějaké elementární shell skriptování, abyste pochopili, co se děje. Je to jednodušší, než to zní.

Inspekci i souborů PKGBUILD pro zcela důvěryhodné balíčky, abyste se naučili rozpoznat dobrý soubor PKGBUILD. Když uvidíte tucet dobrých souborů PKGBUILD a pochopíte, co se tam děje, budete mít již cit pro cokoliv, co je mimo standart.

Hledejte něco zjevně zlomyslného, jako rm, mv příkazy, jakékoli výstupní přesměrování, jakákoli zmínka o /dev(S podobným /dev/null, /dev/sda, /dev/zero, /dev/random), mkfs, jakékoliv volání na pacman, systemctl, cokoliv, co se dotýká grub... takové věci.

Hledejte jakýkoliv příkaz, který dělá věci ve vašem domácím adresáři. Typicky by se stavba a instalace balíčků nemělo dotýkat ničeho v adresáři home. Pokud najdete něco takového, buďte velmi podezřívaví a ujistěte se, že zcela rozumíte tomu, co tento příkaz dělá.

Hledejte vše, co vypadá záměrně zamlženě. Cokoliv, co je napsáno nejasným způsobem, s mnoha semikolony, &&S.S. a ||s.s., hodně závorek, sed, awk, atd. Typicky, dobré PKGBUILD obsahují velmi jednoduché pokyny.

Ujistěte se, že software pochází z důvěryhodného místa, ať už se jedná o binární distribuci nebo zdrojový kód. Zkontrolujte všechny adresy URL ve skriptu, ujistěte se, že jsou oficiální stránky pro software, který instalujete. Všechny adresy URL by měly být uvedeny úhledně na začátku souboru. Hledejte jakékoliv stahování externích skriptů, s curl nebo wget, nemělo by být nic takového. Pozor na náhodná místa Github.

Používejte zdravý rozum.

Také, když nainstalujete něco z AUR, zvažte jeho hlasování na aur.archlinux.org, jen abyste všichni věděli, že je to dobrý balíček. Hlasy jsou jedním z kritérií pro zahrnutí balíčků do oficiálních repos. Pokud si všimnete něčeho škodlivého, neopomente to nahlásit. Update dobrých balíčků a hlášení špatných je nejjednodušší způsob, jak zlepšit AUR pro každého.

Návod je převzat z Discovery na EndeavourOS vydán 09. března 2021.

Také nás najdeš na našem Discordu nebo Telegramu:

Kankys 26.8.2024