[yaourt] problemes de yaourt sur la page "AUR helpers"

Annonces, dépannage, évolution du projet yaourt
zeb
Hankyu
Messages : 25
Inscription : mar. 02 déc. 2008, 11:10

[yaourt] problemes de yaourt sur la page "AUR helpers"

Message par zeb »

Bonjour,

Sur la page https://wiki.archlinux.org/index.php/AUR_helpers yaourt est reference, mais ne recoit pas beaucoup de lauriers! Chaque colonne Secure, Clean build, Reliable parser, Reliable solver, Split packages contient un "No". J'ai l'impression depuis longtemps qu'il y a une certaine animosite contre yaourt depuis tres longtemps sur le forum de Archlinux, et j'ai du mal a comprendre pourquoi. Il y a eu pas mal de propagande contre Yaourt dans les forums, peut-etre de la part d'auteurs de helpers alternatifs? En tout cas je suis un utilisateur de Yaourt depuis des annees et suis tres satisfait.

Cependant, est-ce que ces griefs sont legitimes? Il y a des liens vers le code ou des posts de la mailing list, donc on pourrait penser que oui. Est-ce que ce serait possible de s'occuper de ceci, afin d'avoir des Yes dans chaque colonne? :wink:
Avatar de l’utilisateur
Xorg
Maître du Kyudo
Messages : 1933
Inscription : dim. 22 janv. 2012, 19:25
Localisation : Entre le clavier et la chaise.

Re: [yaourt] problemes de yaourt sur la page "AUR helpers"

Message par Xorg »

Bonjour,

J'ai jeté un œil dans les liens à droite des "No". Je n'ai pas l'impression que ça soit très argumenté (pas plus d'explications pourquoi yaourt n'est pas considéré comme "sécurisé", et "Clean build" à été mis sur "No" à cause d'un bug rencontré par une personne). De manière générale, yaourt perce dans la communauté francophone, mais dans les autres communautés je n'ai pas l'impression que ça soit le cas.

À vrai dire, vu que tout le monde peut éditer le wiki, on peut mettre arbitrairement des "Yes" dans les colonnes... Peut-être la volonté de certaines personnes pour rentre yaourt moins populaire. :|
Arch Linux x86_64 - Sway
AMD Ryzen 5 3600X - 32 Go de DDR4 - SSD NVMe 1 To + SSD SATA 250 Go - Sapphire NITRO+ Radeon RX 580
Image AUR___Image Wiki___Image GitHub
zeb
Hankyu
Messages : 25
Inscription : mar. 02 déc. 2008, 11:10

Re: [yaourt] problemes de yaourt sur la page "AUR helpers"

Message par zeb »

Ils ont rajoute des explications:
  • Secure: does not source, by default, the PKGBUILD at all, or, before doing so, reminds the user and offers him the opportunity to inspect it manually. Some helpers are known to source PKGBUILDs before the user can inspect them, allowing malicious code to be executed. Optional means that there is a command line flag or configuration option to prevent the automatic sourcing before viewing.

    Le lien est vers la ligne 47 de aur.sh. Ce que je compreds, c'est qu'ils disent que le PKGBUILD est telecharge avant de proposer l'inspection, et que c'est dangereux s'il contient du code executable. Pour autant, je ne sais pas si le simple fait de sourcer le PKGBUILD le rend executable?

    EDIT: semble important. Le helper AUR prm a ete patche pour cette raison. Le log du patch indique "Use the new RPC format to avoid sourcing the PKGBUILD." Les infos sur le RPC de AUR est dispo ici : https://aur.archlinux.org/rpc.php Il est sans doute possible d'utiliser le RPC dans yaourt?
  • Clean build: does not export new variables that can prevent a successful build process.

    C'est parce que /usr/lib/yaourt/pkgbuild.sh exporte la variable BUILDDIR pour le passer a makepkg. D'apres Eli Schwartz sur la mailing list, c'est inutile, makepkg est capable de gerer tout seul.
Avatar de l’utilisateur
FoolEcho
Maître du Kyudo
Messages : 10707
Inscription : dim. 15 août 2010, 11:48
Localisation : Basse-Normandie

Re: [yaourt] problemes de yaourt sur la page "AUR helpers"

Message par FoolEcho »

zeb a écrit :Pour autant, je ne sais pas si le simple fait de sourcer le PKGBUILD le rend executable?
source est censé n'être utilisé que pour charger des fonctions... mais un aspect pervers est effectivement qu'il est susceptible de jouer tout code extérieur à des fonctions définies dans le fichier (et oui, il se fiche que le fichier dispose ou non des droits d'exécution)... et dans le shell courant de surcroît (et non dans un sous-shell si tu exécutais directement le fichier... s'il a les permissions).
Donc effectivement le fait de pouvoir (et devoir :P ) inspecter le PKGBUILD avant sans opérer de source est un critère important de sécurité...
«The following statement is not true. The previous statement is true.» :nage:
Avatar de l’utilisateur
benjarobin
Maître du Kyudo
Messages : 17187
Inscription : sam. 30 mai 2009, 15:48
Localisation : Lyon

Re: [yaourt] problemes de yaourt sur la page "AUR helpers"

Message par benjarobin »

C'est d'ailleurs le but du fichier .SRCINFO pour éviter d'avoir à faire le moindre parsing du PKGBUILD sur AUR
Zsh | KDE | PC fixe : core i7, carte nvidia
Titre d'un sujet : [Thème] Sujet (état) / Règles du forum
Répondre