[Question] AUR est-il dangereux?

Mise à jour / Création /debug de paquetages
Avatar de l’utilisateur
jesaispas3
newbie
Messages : 2
Inscription : mer. 30 mars 2016, 05:57

[Question] AUR est-il dangereux?

Message par jesaispas3 » mer. 30 mars 2016, 06:03

Plop, on m'a plusieurs fois dit sur l'IRC que l'utilisation de AUR est dangereuse. Mais je n'ai jamais demandé pourquoi. Alors, pourquoi? Est-ce parce que ce sont des paquets empaquetés par la communauté? Et si oui, aurait-on un plus grand intérêt à empaqueter nous-même?

Merci : )
Fixe: AMD A4-6300 Dual-Core 3.7GHz - 4Go RAM - Nvidia GeForce 210 - Parabola GNU/Linux-libre XFCE - i3

Notebook: Intel Core i7 3610QM 2.3GHz - 12Go RAM - Nvidia GeForce GT635M - ArchLinux XFCE

benjarobin
Maître du Kyudo
Messages : 15923
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [Question] AUR est-il dangereux?

Message par benjarobin » mer. 30 mars 2016, 10:43

Bonjour,
Oui c'est "dangereux" si tu ne fais pas l'effort de relecture du PKGBUILD et du fichier .install (le plus dangereux).
Dans le fichier .install le paquet pourrait détruire le système lors de l'installation du paquet s'il le souhaite.

Un paquet sur AUR (qui n'est que le PKGBUILD et quelques autres fichiers) est posté par n'importe qui, il n'y a aucun contrôle, mais il existe les commentaires et les votes ce qui donne une bonne indication de la fiabilité d'un tel paquet.

Bref, le faire sois même serais une perte de temps (de mon point de vue), il suffit de relire vite fait ce qui est fait dans le PKGBUILD et le .install avant toute construction et installation.
Zsh | KDE | PC fixe : core i7, carte nvidia | Portable : Asus ul80vt
Titre d'un sujet : [Thème] Sujet (état)

Avatar de l’utilisateur
milouse
Hankyu
Messages : 24
Inscription : dim. 14 août 2011, 17:56
Localisation : Nantes
Contact :

Re: [Question] AUR est-il dangereux?

Message par milouse » mer. 30 mars 2016, 11:35

À titre de comparaison, si tu connaît un peu le monde ubuntu, AUR est aussi dangereux que l'utilisation des différents PPA : ce sont des paquets qui ne sont pas validé par des instances de confiances (les gestionnaires des dépôts officiels) donc potentiellement mal empaquetés, voire vérolés. Tu as également moins l'assurance que le paquet sera maintenu dans le temps.

Cependant, comparativement aux distributions type ubuntu ou fedora ou suse et leurs dépôts utilisateurs, l'interêt du monde arch c'est cette centralisation des efforts de la communauté dans AUR. À l'image de wikipedia cela permet un meilleur « contrôle » des paquets proposés : si quelqu'un faisait réellement de la m***e dans un paquet, tu verrais vite apparaître des commentaires le signalant. Pour compléter les propos de @benjarobin, une autre mesure de confiance est simplement de regarder la liste des paquets maintenus par le mainteneur du paquet que tu veux installer. C'est à mon sens plus parlant que les votes (les paquets sont en grande majorité à zéro...). Si tu constate que le mainteneur en question gère que ce paquet seul, c'est potentiellement plus risqué que quelqu'un maintenant une dizaine ou plus de paquet (et donc a priori touchant un public plus large, capable le cas échéant d'avoir fait remonter des soucis). Se méfier également des paquets directement poussés par un contributeur du projet upstream, pas forcément au courant des bonnes pratiques d'Arch.

Donc objectivement, je ne dirais pas que AUR est « dangereux ». Je dirai qu'il est réservé aux gens sachant ce qu'ils font (et en particulier qui savent lire les PKGBUILDs/*.install). Si tu es prêt à faire du packaging toi même, j'en conclus que tu es à même de faire la relecture des PKGBUILD/*.install des paquets AUR que tu installerais.

Avatar de l’utilisateur
jesaispas3
newbie
Messages : 2
Inscription : mer. 30 mars 2016, 05:57

Re: [Question] AUR est-il dangereux?

Message par jesaispas3 » mer. 30 mars 2016, 16:48

J'avais l'intention de relire le PKGBUILD et le fichier *.install comme il est conseillé dans le wiki
Du coup j'ai pu peur d'installer un paquet venant de AUR.

Merci pour les réponses : )
Fixe: AMD A4-6300 Dual-Core 3.7GHz - 4Go RAM - Nvidia GeForce 210 - Parabola GNU/Linux-libre XFCE - i3

Notebook: Intel Core i7 3610QM 2.3GHz - 12Go RAM - Nvidia GeForce GT635M - ArchLinux XFCE

lemust83
archer de cavalerie
Messages : 187
Inscription : ven. 11 déc. 2015, 21:20
Contact :

Re: [Question] AUR est-il dangereux?

Message par lemust83 » mer. 30 mars 2016, 23:31

Je dirais que c'est comme en voiture. En étant prudent et en anticipant, on peut raisonnablement circuler aux côtés d'autres conducteurs(trices) plus ou moins prudent(e)s et être capable d'éviter les rêveurs(euses) fessedeboucqué(e)s. Mais si on s'en remet aux bonnes grâces et qu'on installe comme en conduisant sans trop regarder, ça peut effectivement poser des graves problèmes. Ce n'est pas AUR ou Yaourt qui est dangereux en soi, c'est l'utilisation qu'on en fait.
Tour: Arch (Xfce) 64 Testing: Dual core AMD A4-3300
Mobo: Gigabyte model: GA-A55M-S2HP
Bios: Award v: F2 date: 07/13/2011
Manjaro en Dual (grub).

Répondre