Archlinux.fr [Forums]

Bonjour,

Sur la page https://wiki.archlinux.org/index.php/AUR_helpers yaourt est reference, mais ne recoit pas beaucoup de lauriers! Chaque colonne Secure, Clean build, Reliable parser, Reliable solver, Split packages contient un "No". J'ai l'impression depuis longtemps qu'il y a une certaine animosite contre yaourt depuis tres longtemps sur le forum de Archlinux, et j'ai du mal a comprendre pourquoi. Il y a eu pas mal de propagande contre Yaourt dans les forums, peut-etre de la part d'auteurs de helpers alternatifs? En tout cas je suis un utilisateur de Yaourt depuis des annees et suis tres satisfait.

Cependant, est-ce que ces griefs sont legitimes? Il y a des liens vers le code ou des posts de la mailing list, donc on pourrait penser que oui. Est-ce que ce serait possible de s'occuper de ceci, afin d'avoir des Yes dans chaque colonne?

Bonjour,

J'ai jeté un œil dans les liens à droite des "No". Je n'ai pas l'impression que ça soit très argumenté (pas plus d'explications pourquoi yaourt n'est pas considéré comme "sécurisé", et "Clean build" à été mis sur "No" à cause d'un bug rencontré par une personne). De manière générale, yaourt perce dans la communauté francophone, mais dans les autres communautés je n'ai pas l'impression que ça soit le cas.

À vrai dire, vu que tout le monde peut éditer le wiki, on peut mettre arbitrairement des "Yes" dans les colonnes... Peut-être la volonté de certaines personnes pour rentre yaourt moins populaire.

Ils ont rajoute des explications:

• Secure: does not source, by default, the PKGBUILD at all, or, before doing so, reminds the user and offers him the opportunity to inspect it manually. Some helpers are known to source PKGBUILDs before the user can inspect them, allowing malicious code to be executed. Optional means that there is a command line flag or configuration option to prevent the automatic sourcing before viewing.
  
  Le lien est vers la ligne 47 de aur.sh. Ce que je compreds, c'est qu'ils disent que le PKGBUILD est telecharge avant de proposer l'inspection, et que c'est dangereux s'il contient du code executable. Pour autant, je ne sais pas si le simple fait de sourcer le PKGBUILD le rend executable?
  
  EDIT: semble important. Le helper AUR prm a ete patche pour cette raison. Le log du patch indique "Use the new RPC format to avoid sourcing the PKGBUILD." Les infos sur le RPC de AUR est dispo ici : https://aur.archlinux.org/rpc.php Il est sans doute possible d'utiliser le RPC dans yaourt?
• Clean build: does not export new variables that can prevent a successful build process.
  
  C'est parce que /usr/lib/yaourt/pkgbuild.sh exporte la variable BUILDDIR pour le passer a makepkg. D'apres Eli Schwartz sur la mailing list, c'est inutile, makepkg est capable de gerer tout seul.

zeb a écrit :Pour autant, je ne sais pas si le simple fait de sourcer le PKGBUILD le rend executable?

source est censé n'être utilisé que pour charger des fonctions... mais un aspect pervers est effectivement qu'il est susceptible de jouer tout code extérieur à des fonctions définies dans le fichier (et oui, il se fiche que le fichier dispose ou non des droits d'exécution)... et dans le shell courant de surcroît (et non dans un sous-shell si tu exécutais directement le fichier... s'il a les permissions).
Donc effectivement le fait de pouvoir (et devoir ) inspecter le PKGBUILD avant sans opérer de source est un critère important de sécurité...

C'est d'ailleurs le but du fichier .SRCINFO pour éviter d'avoir à faire le moindre parsing du PKGBUILD sur AUR