Как я могу проверить / подтвердить личность поддерживающего PPA (например, Chromium Team)?

7

Chromium Stable PPA (как указано здесь: ppa: chromium-daily / stable) поддерживается Chromium Team (https://launchpad.net/~chromium-team). Я предполагаю, что это «разработчики Chromium от Google»? Если это так, я бы предположил, что этот PPA очень безопасен и заслуживает доверия.

Но существует ли определенная процедура или метод расследования, которые я должен / могу сделать, чтобы подтвердить личность сопровождающего? Насколько я понимаю (или, по крайней мере, прочитал), любой может создать PPA «Chromium Team». Что касается безопасности и безопасности, я хотел бы узнать, как подтвердить личность поддерживающих PPA, особенно «крупных имен», таких как Google или Mozilla.

    
задан Sam 15.07.2011 в 14:57
источник

1 ответ

4

"Chromium Team" в Launchpad - разработчики Ubuntu, а не разработчики Google (за исключением одного, кто работает с Chromium в Google). Вы можете увидеть это, посмотрев членство в команде:

То, как вы определяете, активны ли поддерживающие участники восходящего потока в команде, - это узнать, распознаете ли вы имена (или адреса электронной почты). Для крупных проектов, таких как Mozilla и Chrome, где разработчики Ubuntu работают со своим восходящим потоком, в общем, я им доверяю.

Например, команда, которая запускает PPA Firefox, является той же командой, которая поддерживает Firefox в дистрибутиве, а команда, которая поддерживает Chromium PPA, также является той же командой, которая поддерживает Chromium в дистрибутиве.

На самом деле нет способа определить, как "заслуживающий доверия" PPA находится на glace (именно поэтому большинство людей обычно рекомендуют не доверять им по умолчанию). В настоящее время нет никакого реального способа узнать, как "официальный" PPA, если он явно не упоминается вверх по потоку как заслуживающий доверия (см., как XBMC рекомендует PPA в этой ссылке), или вы узнаете людей в команде. В Open Source, поскольку все делается в открытом доверии, это то, что зарабатывают люди, основанные на поведении. Например, я доверяю тому, кто работает в Mozilla, чтобы написать мой браузер, и я доверяю тому, кто является разработчиком Ubuntu, чтобы правильно его упаковать, поскольку обе организации имеют модель экспертной оценки.

Индивидуальные PPA - другое дело, нет никакой гарантии, что они ничего не сломают, но это не означает, что каждый из них автоматически плохо. Крис говорит об этом немного о безопасности PPA в этом ответе:

ответ дан Jorge Castro 15.07.2011 в 15:02