Diskussions- und Newsboard der Linux Interessen Gruppe Suletuxe
allgemeine Kategorie => Allgemeine Diskussionen => Thema von: Sebastian am 25. Juli 2022, 16:57:17

Titel: Chaotic-AUR
Beitrag von: Sebastian am 25. Juli 2022, 16:57:17

Was haltet ihr von dem Arch Repository Chaotic-AUR (https://aur.chaotic.cx/) das von der Arch Distribution https://garudalinux.org/ verwendet wird.

So wie ich das verstanden habe werden in diesen Repo viele AUR Pakete vor compiliert und zu Paketen verpackt. Damit lassen sie sich ohne eine AUR Helper wie yay mit pacman installieren. Damit spart man sich die Zeit zum compilieren.

Paket Liste (https://archlinux.pkgs.org/rolling/chaotic-aur-x86_64/)

Wie man hier so liest (https://www.reddit.com/r/archlinux/comments/i9mope/what_is_the_general_consensus_of_chaoticaur_is_it/), soll das wohl so sicher/unsicher wie das AUR selbst sein, weil von dort die PKGBUILDs automatisch gezogen werden.
Zitat:
chaotic-aur maintainer here.

Is it safe to use?

Nope. We build in containers, enforce https to connect to aur, and manually approve gpg keys of sources, but everything go to waste while we trust openly in the AUR. Because any user can obtain an orphan package, upload whatever he wants there, and that will be signed and redistributed as ours.

However, you can trust that one package X is build of the same PKGBUILD as seen in AUR. So before installing/updating something from the repo you can always check if the PKGBUILD is safe. As you should do when installing from AUR helpers.

Well, I used to be a member of SIn's red team, pen-testing UFSCar itself (lonewolf's host). So there is a bare minimum setup of security in both clusters in place. Soon we'll move hosting and building to a new infra that will isolate everything even more.

Maybe in the future move to having two repos: one with reviewed PKGBUILDs and one "staging" with untrustworthy latest.


Habt ihr Erfahrung mit diesem Repo? Würdet ihr das nutzen? Oder doch lieber die PKGBUILDs aus dem Arch AUR beziehen?

Titel: Re:Chaotic-AUR
Beitrag von: Andreas am 26. Juli 2022, 18:39:33

Kannte ich noch nicht... Ist bestimmt hilfreich (spart Kompilierzeit und Energie). In Sachen "Vertrauen" hätte ich keine Bedenken. Die Paketauswahl ist beschränkt ( es sind längst nicht alle Pakete die ich habe enthalten - so fehlt z.B. avidemux). Aber große Dinge beginnen bekanntlich klein: ich werde das Repo einbinden.

Danke für den Tipp!!

LG
Andreas


Diskussions- und Newsboard der Linux Interessen Gruppe Suletuxe | Powered by YaBB SE
© 2001-2003, YaBB SE Dev Team. All Rights Reserved.