Ostrzeżenie dla Włączających AUR w PAMAC

Po przeczytaniu wątku o “wątpliwym” oprogramowaniu typu “Delta Media Player” w AUR przypomina mi się to co przeczytałem w Arch Wiki. Uprzejmie proszę zatem o niepolecanie użytkownikom właczania AUR w Pamac. To jest wysoce nieodpowiedzialne. Zainstaluje taka sierota coś z AUR i nieszczęście gotowe.

Za Arch Wiki: Każdy ma możliwość wrzucenia oprogramowania do AUR. Gdyby porównać to do czegoś innego to powiedziałbym: użytkownik Windowsa, wszedł na stronę rosyjską, ściągnął “.exe” i sobie to zainstalował.

Trzeba zatem brać poprawkę na zaufanie do wydawcy, który to oprogramowanie wrzucił do AUR. Dodatkowo po włączeniu pojawia sie problem aktualizjacji. Aktualizacje z AUR do “jakiejś” wersji zamiast z głównego repozytorium? Stanowczo odradzam.

Ponadto Arch Wiki nie zaleca korzystnia z yay itd. Jeżeli ufamy wydawcy w AUR i chcemy coś zainstalować to robimy to tak jak zalecają programiści z Arch Wiki, czyli git clone oraz makepkg -sci.

Mam nadzieję, że to jest jasne i klarowne dla “noobów”, którzy polecją instalować wątpliwe oprogramowanie od wątpliwego dostawcy o wątpliwej legalności i w dodatku chcą włączać uaktualnienia z AUR i rozwalić system.

Zacznijmy od tego że AUR jest tworzone przez userów Arch-a dla userów Arch-a, a nie dla Manjaro.
jeżeli chodzi o bezpieczeństwo budowy oraz instalacji z AUR to ja osobiście nie napotkałem żadnych problemów, być może że używam Arch-a.
A poza tym o wiele lepszym rozwiązaniem jest dodanie repa chaotic-aur do pacman-a, i oszczędzenie sobie niejednokrotnie czasochłonnej budowy, tylko po prostu instalacji danej paczki przy pomocy pacman-a.

Skąd ta informacja, ja na stronie znajduję jedynie informację, że AUR Heplery nie są oficjalnie wspierane przez Archa, nie ma ani słowa, że nie wolno z tego korzystać.

Racja, dlatego też w poradnikach dotyczących stosowania AUR w Manjaro, podobnie jak to czyni wiki Archa, także ostrzegamy, że użytkownik robi to na własną odpowiedzialność. Niemniej jedak jeśli ktoś nie czyta poradników i się uprze na instalację niebezpiecznego oprogramowania to cóż, jest sam sobie winien – to jest piękno Linuxa każdy robi co chce ze swoim systemem, my możemy tylko doradzać i odradzać pewne rzeczy.

Także nigdy nie spotkałem się z żadnymi problemami, a korzystam z Manjaro. Tak więc nie widzę powodu, żeby zabraniać innym instalacji potrzebnego oprogramowania z AUR w Manjaro.

https://wiki.archlinux.org/index.php/Arch_User_Repository#Build_and_install_the_package

Ja mam włączone AUR i nie mam żadnych poblemów. Wiadomo, że jeśli mam do wyboru paczke z oficjalnego repo i z aur, to wybiore to pierwsze. Jednak czasem nawet to nie jest dobrym wyborem - przykladowo gra Megaglest z oficjalnego repo mi nie dziala, a z AUR juz tak.

“Zacznijmy od tego że AUR jest tworzone przez userów Arch-a dla userów Arch-a, a nie dla Manjaro.
jeżeli chodzi o bezpieczeństwo budowy oraz instalacji z AUR to ja osobiście nie napotkałem żadnych problemów, być może, że używam Arch-a.”

—> .exe .msi .bat są również tworzone przez userów Windowsa dla userów Windowsa. No i co z tego wynika? Że mam wchodzić na różne strony i to wszystko instalować? Haker też użytkownik Windowsa (no bo skąd wiedziałby jak napisać rootkita, jakby nie używał Windowsa, logiczne, nie?). Żaden to zatem argument że AUR tworzony jest przez userów dla userów. “Delta Media Player” też pochodzi od “usera”- jak chcesz ryzykuj. Nie moja działka.

Przykład Debiana: każda paczka jest podpisana przez tego kto wrzuca do głównego repo
Debiana i jest on osobiście za to odpowiedzialny, paczki sa weryfikowane, dodatkowo podpisane aby w trakcie instalacji nie było możliwe hakowanie MTM, i co jeszcze ważniejsze w jakichś 99% Debian to “reproducible builds”. Bezpieczniej się nie da.
A jak ktoś chce to i owszem, może łazić po intenecie i instalować wszystkie .deb jakie wpadną mu w ręce. Jego sprawa.

A co do wynalazków takich jak pamac to w Arch Wiki czytamy:

"Pacman wrappers
Warning: pacman(8) wrappers abstract the work of the package manager. They may (optionally or by default) introduce unsafe flags, or other unexpected behavior leading to a defective system."

A jeśli chodzi o wynalazki typu yay to w Arch Wiki mamy:
“Warning: Usage of graphical AUR helpers may lead to a defective system, for example through unattended partial upgrades.”

Dlatego nie zalecane jest ich używanie. Kiedyś też było o tym przy okazji wpisu o AUR, że nie zaleca się yay. Nie śledzę rozbudowy przenosin tematów w Arch Wiki i porządkowania tematów do zbiorczego wpisu.

Nie zamierzam też kłócić się w temacie użyteczności AUR bo sam korzystam (patrz niżej*), niemniej jednak wszystko o AUR już zostało powiedziane na forach i w Arch wiki.

*korzystam z bibliotek sytemowych z rzeczy, o których w Arch Wiki nie ma ani słowa (…). Kiedyś myślałem, żeby dodać wpis, ale olałem to, bo skoro tego nie ma w głównym repo, to co się będę wysilał.

Nie bardzo rozumiem po co ten wątek…
AUR można używać tylko na własne ryzyko - to oczywista oczywistość.
I bardzo ciężko przeoczyć tą informację, gdyż jest ona wszędzie: na wiki Archa, Wiki Manjaro czy też na stronie AUR..
Również w mini poradniku dla zupełnie początkujących:

Jak zawsze wskazane jest używanie mózgu - zapewne zdecydowana większość użytkowników go posiada i używa.

Przeceniasz część użytkowników. Dla nich wystarczającym powodem do zgłoszenia błędów jest fakt, że nie mają klucza gpg w systemie.

Widocznie nie kompilowałeś nigdy paczek, które lubią sprawiać problemy. 99% zbuduje się bez problemu, ale to jest loteria. Wystarczy, że Arch zmieni coś w swoich paczkach, opiekun w AUR je do tego dostosuje i na kilka tygodni taka paczka nie ma szans zbudować się w Manjaro.

Większym problemem są źródła z źle napisanymi PKGBUILD-ami lub takie, które w plikach post install wykonują dziwne rzeczy, np. tworzenie użytkownika z uprawnieniami roota. Ale jak zostało już wspomniane, należy uważnie przeglądać źródła i stosować zasadę - nie wiem o co chodzi, nie ruszam.

@jaroman
Z jakiej bajki się urwałeś?
Twoje wypowiedzi świadczą o tym jakbyś wszystkie rozumy zjadł.

1. AUR jest dobry, bo zapewnia dostęp do mnóstwa oprogramowania niedostępnego w systemowym repo.
2. To, że jest dobry, nie znaczy, że można użytkowników zwolnić od odpowiedzialności za własne decyzje i, że te decyzje mogą być bezrefleksyjne.
3. Instalując oprogramowanie dostępne w AUR, należy przejrzeć informacje dostępne na jego temat w AUR, w tym PKGBUILD.
4. Czy ktoś zna system operacyjny, system paczkowania oprogramowania, manager pakietów … o takim poziomie bezpieczeństwa, że będzie tolerował jego bezrozumne użytkowanie? Nie nóż jest niebezpieczny, tylko ręka nim operująca.