Distro Arch não é dificil tem apenas o pacman e tem um yay, mas a questão é a duvida sendo que algumas distro em debian geralmente tem uma empresa por tras fazendo ajuste para disponibilizar pacotes já configurado e fechadinho, já no arch tem uma comunidade como sabe que os pacotes do aur é seguro ?, sendo que até onde pesquisei sobre a distro não tem aplicativos no site oficial com pacotes AUR, todas as empresas só disponibilizam pacotes deb e rpm certo ?
1 curtida
Quando falamos de AUR, é sempre interessante você fazer a leitura do PKGBUILD antes de iniciar qualquer instalação. Com isso, você vai garantir que não irá instalar nenhum pacote/programa perigoso e que poderá comprometer sua distro/informações pessoais (enfim, sua segurança no geral). Se tiver dúvida do que será instalado, é só pesquisar o nome do pacote na internet.
Agora os pacotes do repositório principal do Arch já são mais confiáveis. Antes de disponibilizarem para a comunidade, existe uma série de testes para garantir a integridade do pacote.
2 curtidas
Ter uma empresa por trás de algum projeto de software não faz esse projeto ser seguro, eu particularmente prefiro projetos comunitários sempre que possível. O Arch, um projeto comunitário, com certeza é mais seguro do que o Windows, em vários sentidos diferentes.
Como saber se o pacote AUR é seguro?
Existem algumas formas, as que eu uso são:
- Ver a quantidade de votos do pacote. Se um pacote tem muitos votos, como o yay que tem 2309, significa que muita gente usa, então alguém já teria achado algum erro. Se o pacote for antigo, como o yay que é de 2016, e tem muito voto, melhor ainda, significa que é um pacote confiável.
- Ver quem faz a empacotamento. Tem um pacote que as vezes eu uso que não é tem tanto votos, porem que faz o empacotamento é um cara do equipe no Manjaro, então eu acabo confiando no pkgbuild.
- Lendo o PKGBUILD. Leia o codigo, principalmente a parte do url fonte.
Mas no geral eu evito pacotes do AUR, fora os pacotes dos repositórios oficiais, eu prefiro baixar primeiro os do Flatpak, depois os do AUR, a não ser que o desenvolvedor do pacote apresente o AUR como uma das versões oficiais.
A maioria das empresas não empacota, mas algumas sim, como a 1password, o pacote delas do aur é oficial. Muito devs também empacotam no aur, como o catppuccin e beautyline. Esse ponto se encaixa no item “Ver quem faz a empacotamento”
Qual distro Arch escolher ?, Duvida sobre Segurança AUR?
Por essas suas duas duvidas, eu recomendaria do Garuda, é uma distro baseada no Arch e que implementa o chaotic-aur, é um repositorio similar ao aur, porem é mantido pela equipe do Garuda, então na pratica vira um repositorio da distro como qualquer outro. Seria mais seguro por ser empacotado pela equipe Garuda
3 curtidas
A resposta do @Anhanga está super-completa e detalhada. – Eu acrescentaria o link para a página do AUR:
Ao explorar alternativas ao Neofetch, utilizei bastante o AUR. – Talvez aquelas anotações ajudem a dar uma ideia das possibilidades.
1 curtida