Seiten: [1] 
|
 |
|
|
Autor
|
Thema: Chaotic-AUR (Gelesen 1454 mal)
|
|
Sebastian
Sr. Member
 Offline
Einträge: 487
|
 |
Chaotic-AUR
« am: 25. Juli 2022, 16:57:17 »
|
|
Was haltet ihr von dem Arch Repository Chaotic-AUR das von der Arch Distribution https://garudalinux.org/ verwendet wird.
So wie ich das verstanden habe werden in diesen Repo viele AUR Pakete vor compiliert und zu Paketen verpackt. Damit lassen sie sich ohne eine AUR Helper wie yay mit pacman installieren. Damit spart man sich die Zeit zum compilieren.
Paket Liste
Wie man hier so liest, soll das wohl so sicher/unsicher wie das AUR selbst sein, weil von dort die PKGBUILDs automatisch gezogen werden.
chaotic-aur maintainer here.
Is it safe to use?
Nope. We build in containers, enforce https to connect to aur, and manually approve gpg keys of sources, but everything go to waste while we trust openly in the AUR. Because any user can obtain an orphan package, upload whatever he wants there, and that will be signed and redistributed as ours.
However, you can trust that one package X is build of the same PKGBUILD as seen in AUR. So before installing/updating something from the repo you can always check if the PKGBUILD is safe. As you should do when installing from AUR helpers.
Well, I used to be a member of SIn's red team, pen-testing UFSCar itself (lonewolf's host). So there is a bare minimum setup of security in both clusters in place. Soon we'll move hosting and building to a new infra that will isolate everything even more.
Maybe in the future move to having two repos: one with reviewed PKGBUILDs and one "staging" with untrustworthy latest.
|
|
Habt ihr Erfahrung mit diesem Repo? Würdet ihr das nutzen? Oder doch lieber die PKGBUILDs aus dem Arch AUR beziehen?
|
|
 Gespeichert
|
Richtig um Hilfe bitten
|
|
|
Andreas
Administrator
Offline
Einträge: 1319
Linux von Innen
|
|
Re:Chaotic-AUR
« Antwort #1 am: 26. Juli 2022, 18:39:33 »
|
|
Kannte ich noch nicht... Ist bestimmt hilfreich (spart Kompilierzeit und Energie). In Sachen "Vertrauen" hätte ich keine Bedenken. Die Paketauswahl ist beschränkt ( es sind längst nicht alle Pakete die ich habe enthalten - so fehlt z.B. avidemux). Aber große Dinge beginnen bekanntlich klein: ich werde das Repo einbinden.
Danke für den Tipp!!
LG
Andreas
|
|
Gespeichert
|
Wissen ist das einzige Gut, das mehr wird, wenn man es teilt - wenn es Menschen gibt, die es teilen, und es Menschen gibt, die bereit sind, dieses Geschenk auch mit eigenem Einsatz anzunehmen.
Freiheit zu erkämpfen reicht nicht. Man muss sie auch verteidigen.
Ohne IT-Kompetenz ist man heutzutage ein willkommenes Opfer und Spielball anderer, egal, welches System oder Gerät man nutzt. Nur Wissen schützt vor Schaden!
|
|
|
Seiten: [1] 
|
|
|
|
|
|
|
