AUR ve diğer repositorylerin güvenliği ne durumda?

2

277726

Hectopat
Katılım
3 Eylül 2019
Mesajlar
1.944
Makaleler
4
Çözümler
16
AUR repoları kullanıcılar kendileri hazırladığı için güvenli olmadığı söyleniyor. Açıkçası bana da pek güvenli gelmiyor. Çoğu kişi ben kullanıyorum bir şey olmuyor diye cevap veriyor ama burada cevap bu olamaz çünkü korsan kullanan kişiler de aynı cevabı veriyor. Hacklendiğinden haberi olmayan insanlar da aynı cevabı verebilir. O yüzden sizlere sorum şu;

Tamamen güvenlik için hangi repository en güvenilir olabililir?

AUR repolarının hepsini kendim oluşturmaya çalışırsam ne tür bilgilere ihtiyacım var? - belki bununla uğraşmak yerine kodlarını kontrol ederim diyeceğim ama sürekli güvenliğimden emin olmak için, her gün programın AUR reposunu kontrol etmek de çok zaman kaybı ve saçma olur. -

Not: Debian paketlerinin Debian geliştiricileri tarafından kontrol edilerek yayınlandığını ve güvenilir olduğunu biliyorum ama aşırı eski versiyonlar içerdiği için şu sıralar flatpak tercih ediyorum ama flatpak hakkında da güvenliği kötü olduğuna dair böyle bir bilgi buldum;

Flatpak - a security nightmare

Flatpak - a security nightmare
flatkill.org
 
277726 dedi:
AUR repoları kullanıcılar kendileri hazırladığı için güvenli olmadığı söyleniyor. Açıkçası bana da pek güvenli gelmiyor. Çoğu kişi ben kullanıyorum bir şey olmuyor diye cevap veriyor ama burada cevap bu olamaz çünkü korsan kullanan kişiler de aynı cevabı veriyor. Hacklendiğinden haberi olmayan insanlar da aynı cevabı verebilir. O yüzden sizlere sorum şu;

Tamamen güvenlik için hangi repository en güvenilir olabililir?

AUR repolarının hepsini kendim oluşturmaya çalışırsam ne tür bilgilere ihtiyacım var? - belki bununla uğraşmak yerine kodlarını kontrol ederim diyeceğim ama sürekli güvenliğimden emin olmak için, her gün programın AUR reposunu kontrol etmek de çok zaman kaybı ve saçma olur. -

Not: Debian paketlerinin Debian geliştiricileri tarafından kontrol edilerek yayınlandığını ve güvenilir olduğunu biliyorum ama aşırı eski versiyonlar içerdiği için şu sıralar flatpak tercih ediyorum ama flatpak hakkında da güvenliği kötü olduğuna dair böyle bir bilgi buldum;

Flatpak - a security nightmare

Flatpak - a security nightmare
flatkill.org
Genişletmek için tıkla...
PKGBUILD'ler tamamen acik, binary olarak paylasilan seylere guvenmeyebilirsin ama PKGBUILD'leri inceleyerek ve https://aur.archlinux.org/packages/PAKETADI kisminda paket yorumlarina bakarak guvenliginden emin olabilirsin. Basibos degil oralar yani.
 
Linuxginar dedi:
PKGBUILD'ler tamamen acik, binary olarak paylasilan seylere guvenmeyebilirsin ama PKGBUILD'leri inceleyerek ve https://aur.archlinux.org/packages/PAKETADI kisminda paket yorumlarina bakarak guvenliginden emin olabilirsin. Basibos degil oralar yani.
Genişletmek için tıkla...

İşte onları incelemeyi bilmeyenler için sorun olacak bir durum. Debian veya pacman kendi reposunda yazılımcılar kontrol ediyor ve onlara güveniyoruz. Gerçi bazı insanlar da bakıyordur ama AUR repo da güncel uygulamaları kontrol ediyorlardır. Misal xournal pek bilindik değil ama VS Code daha çok biliniyor ve daha çok kontrol ediliyor diye örnek verebilirim.

Yorumlara bakarak güvenmek aslında bazı uygulamalar için geçerli olabilir. Az biliniyor diye örnek verdim ama xournal için bayağı bir yorum yapılmış ve hatta bazı insanlar yardım edip eklemeler bile yapmışlar. (bknz, vscodium ). Bunlar güvenilir olduğu belli oluyor ama yorumsuz olan uygulama indirmeye çalışınca pkgbuild kontrol etmeyi öğrenmemiz gerekecek. Hadi ben teknik birisi olduğum için buna zaman harcayıp öğrenirim ve tabii ki Arch'ın sadeliğinden, hızından yararlanmak için bir süre zaman ayırabilirim ama sistemimi düzenledikten sonra her güncellemede pkgbuild kontrol etmem gerekir ki güvenliğinden emin olayım.
 
277726 dedi:
İşte onları incelemeyi bilmeyenler için sorun olacak bir durum. Debian veya pacman kendi reposunda yazılımcılar kontrol ediyor ve onlara güveniyoruz. Gerçi bazı insanlar da bakıyordur ama AUR repo da güncel uygulamaları kontrol ediyorlardır. Misal xournal pek bilindik değil ama VS Code daha çok biliniyor ve daha çok kontrol ediliyor diye örnek verebilirim.

Yorumlara bakarak güvenmek aslında bazı uygulamalar için geçerli olabilir. Az biliniyor diye örnek verdim ama xournal için bayağı bir yorum yapılmış ve hatta bazı insanlar yardım edip eklemeler bile yapmışlar. (bknz, vscodium ). Bunlar güvenilir olduğu belli oluyor ama yorumsuz olan uygulama indirmeye çalışınca pkgbuild kontrol etmeyi öğrenmemiz gerekecek. Hadi ben teknik birisi olduğum için buna zaman harcayıp öğrenirim ve tabii ki Arch'ın sadeliğinden, hızından yararlanmak için bir süre zaman ayırabilirim ama sistemimi düzenledikten sonra her güncellemede pkgbuild kontrol etmem gerekir ki güvenliğinden emin olayım.
Genişletmek için tıkla...
AUR end-user dagitimlarinda acik bile gelmiyor. Bilinmeyen uygulamalari da kuracagini sanmam bir son kullanicinin. Incelemek gerekli yine de.
 
AUR isminden de anlaşıldığı üzere bir kullanıcı reposudur. Rastgele paket yüklerseniz elbette ki sistem zarar görebilir. Fakat bilinçli bir kullanıcı için bir nimettir.

AUR (en) - Home üzerinden veya kullandığınız AUR-helper (paru, yay) aracılığıyla indirmeden önce paket hakkında bilgi alabilir, oyları görüntüleyebilirsiniz. SOURCE bölümüne göz atarak resmi adreslerden indirme yapacağınızı teyit edebilir ve daha birçok bilgiye doğrudan erişim sağlayabilirsiniz. Bu durumda AUR'un güvenli olmaması gibi bir durum mevcut değildir.
 
277726 dedi:
Tamamen güvenlik için hangi repository en güvenilir olabililir?
Genişletmek için tıkla...
Her şeyde olduğu gibi kendi yaptığın repo en güvenilirdir.
277726 dedi:
AUR repolarının hepsini kendim oluşturmaya çalışırsam ne tür bilgilere ihtiyacım var?
Genişletmek için tıkla...
Paketleme herkesin yapabileceği kolay bir iş değil. AUR'da tonla paket var, bunları yapman yıllarını alır.
Az Shell bilgisi ve bir programın genellikle nasıl derlendiği, kullandığı Build sisteminde olan flagları vesaire bilsen yapabilirsin.
 
Egoistt dedi:
AUR isminden de anlaşıldığı üzere bir kullanıcı reposudur. Rastgele paket yüklerseniz elbette ki sistem zarar görebilir. Fakat bilinçli bir kullanıcı için bir nimettir.

AUR (en) - Home üzerinden veya kullandığınız AUR-helper (paru, yay) aracılığıyla indirmeden önce paket hakkında bilgi alabilir, oyları görüntüleyebilirsiniz. Source bölümüne göz atarak resmi adreslerden indirme yapacağınızı teyit edebilir ve daha birçok bilgiye doğrudan erişim sağlayabilirsiniz. Bu durumda AUR'un güvenli olmaması gibi bir durum mevcut değildir.
Genişletmek için tıkla...

Oy alması benim için önemli değil çünkü hackerlar çok iyi phising yapabiliyorlar. Mesela bir siber güvenlikçiye Google üzerinden mail atıp bayağı şifresini falan değiştiriyorlarmış ki adam son anda bağlandığı adresin bir harfinin değişik olduğunu fark edip şifresini değiştirmemiş. Bu yüzden önemli olan yorumlarda ekleme yapan kişilerin olması ama bu da pishing olabilir... Paronayak seviyesinde düşününce Source kod okumayı öğrenmekten başka şansım kalmıyor :).

433815 dedi:
Her şeyde olduğu gibi kendi yaptığın repo en güvenilirdir.

Paketleme herkesin yapabileceği kolay bir iş değil. AUR'da tonla paket var, bunları yapman yıllarını alır.
Az Shell bilgisi ve bir programın genellikle nasıl derlendiği, kullandığı Build sisteminde olan flagları vesaire bilsen yapabilirsin.
Genişletmek için tıkla...

Tüm paketleri değil de sadece kendi uygulamalarımı paketlemem yeterli olur. Ayrıca bu bana kodlama ile ilgili bir tecrübe de kazandırır ki ileride ki mesleğim için güzel olabilir.
 
277726 dedi:
Paronayak seviyesinde düşününce Source kod okumayı öğrenmekten başka şansım kalmıyor :).
Genişletmek için tıkla...

Bu durumda katılıyorum. Siz olayı biraz abartmışsınız, source okumak basit zaten. Pkgbuild'leri incelemeyi de öğrenip kullanabilirsiniz.

Ya da indirmek istediğiniz yazılımı orijinal reposundan talimatlara uyarak kendiniz derleyin. En güvenli yöntem budur.
 

Benzer konular

Eureka
  • Soru
Snap/Flatpak, AUR ve Resmi depolar arasındaki farklar nedir?
Mesaj
1
Görüntüleme
925
deleted
deleted
EldrithcWraith
Chaotic-AUR guvenilir mi?
Mesaj
9
Görüntüleme
1B
Kernelginar
Kernelginar
trans_women
  • Çözüldü
Çözüldü  Flatpak Lutris nasıl silinir?
Mesaj
3
Görüntüleme
199
trans_women
trans_women
Huso112
Artix Linux AUR paketinde hata veriyor
2 3
Mesaj
24
Görüntüleme
1B
Huso112
Huso112
Eren T.
  • Soru
Çözüldü  Paru AUR deposunda çalışmıyor
Mesaj
1
Görüntüleme
77
atillux
atillux

Yeni konular

Yeni mesajlar

Geri
Yukarı