[Question] AUR est-il dangereux?

[jesaispas3]

Plop, on m'a plusieurs fois dit sur l'IRC que l'utilisation de AUR est dangereuse. Mais je n'ai jamais demandé pourquoi. Alors, pourquoi? Est-ce parce que ce sont des paquets empaquetés par la communauté? Et si oui, aurait-on un plus grand intérêt à empaqueter nous-même?

Merci : )

[benjarobin]

Bonjour,
Oui c'est "dangereux" si tu ne fais pas l'effort de relecture du PKGBUILD et du fichier .install (le plus dangereux).
Dans le fichier .install le paquet pourrait détruire le système lors de l'installation du paquet s'il le souhaite.

Un paquet sur AUR (qui n'est que le PKGBUILD et quelques autres fichiers) est posté par n'importe qui, il n'y a aucun contrôle, mais il existe les commentaires et les votes ce qui donne une bonne indication de la fiabilité d'un tel paquet.

Bref, le faire sois même serais une perte de temps (de mon point de vue), il suffit de relire vite fait ce qui est fait dans le PKGBUILD et le .install avant toute construction et installation.

[milouse]

À titre de comparaison, si tu connaît un peu le monde ubuntu, AUR est aussi dangereux que l'utilisation des différents PPA : ce sont des paquets qui ne sont pas validé par des instances de confiances (les gestionnaires des dépôts officiels) donc potentiellement mal empaquetés, voire vérolés. Tu as également moins l'assurance que le paquet sera maintenu dans le temps.

Cependant, comparativement aux distributions type ubuntu ou fedora ou suse et leurs dépôts utilisateurs, l'interêt du monde arch c'est cette centralisation des efforts de la communauté dans AUR. À l'image de wikipedia cela permet un meilleur « contrôle » des paquets proposés : si quelqu'un faisait réellement de la m***e dans un paquet, tu verrais vite apparaître des commentaires le signalant. Pour compléter les propos de @benjarobin, une autre mesure de confiance est simplement de regarder la liste des paquets maintenus par le mainteneur du paquet que tu veux installer. C'est à mon sens plus parlant que les votes (les paquets sont en grande majorité à zéro...). Si tu constate que le mainteneur en question gère que ce paquet seul, c'est potentiellement plus risqué que quelqu'un maintenant une dizaine ou plus de paquet (et donc a priori touchant un public plus large, capable le cas échéant d'avoir fait remonter des soucis). Se méfier également des paquets directement poussés par un contributeur du projet upstream, pas forcément au courant des bonnes pratiques d'Arch.

Donc objectivement, je ne dirais pas que AUR est « dangereux ». Je dirai qu'il est réservé aux gens sachant ce qu'ils font (et en particulier qui savent lire les PKGBUILDs/*.install). Si tu es prêt à faire du packaging toi même, j'en conclus que tu es à même de faire la relecture des PKGBUILD/*.install des paquets AUR que tu installerais.

[jesaispas3]

J'avais l'intention de relire le PKGBUILD et le fichier *.install comme il est conseillé dans le wiki
Du coup j'ai pu peur d'installer un paquet venant de AUR.

Merci pour les réponses : )

[lemust83]

Je dirais que c'est comme en voiture. En étant prudent et en anticipant, on peut raisonnablement circuler aux côtés d'autres conducteurs(trices) plus ou moins prudent(e)s et être capable d'éviter les rêveurs(euses) fessedeboucqué(e)s. Mais si on s'en remet aux bonnes grâces et qu'on installe comme en conduisant sans trop regarder, ça peut effectivement poser des graves problèmes. Ce n'est pas AUR ou Yaourt qui est dangereux en soi, c'est l'utilisation qu'on en fait.