Repositório AUR sofre ataque de negação de serviço

Só não usar o AUR. Você não é obrigado a usar o AUR para usar o Arch.

O AUR é tão separado do sistema, que para instalar programas vindos dele, ou você compila manualmente usando o makepkg ou instala um ajudante de AUR.

Deixa eu só entender essa sua colocação melhor:
Você está querendo dizer que o ARCH é perseguido? Você fez uma comparação com paste.ubuntu.com, que nada mais é do que um local onde se pode colar trechos de texto e código, que usualmente são usados em fóruns. Algo TOTALMENTE diferente de repositórios PERMITIDOS por uma instituição que reiteradamente tem problemas de segurança. Para esclarecer: sabe porque não acontece no Ubuntu? Chama-se “PREMISSA DE SEGURANÇA”… Permita-me elucidar:

Em softwares, uma premissa de segurança refere-se a um princípio fundamental ou um conjunto de práticas adotadas durante o desenvolvimento e operação para garantir que o software seja resistente a ataques e vulnerabilidades, protegendo dados e funcionalidades. Em outras palavras, é a base sobre a qual a segurança do software é construída, assegurando que ele possa ser usado com confiança.

Volto a afirmar: este tipo de “abertura” mancha a imagem que se espera de uma organização que produz software seja ele qual for. É por isso que outras organizações não tem este tipo de, digamos, modelo.
No caso dos softwares, este antigo ditado serve perfeitamente para exemplificar o que eu estou dizendo:

À mulher de César não basta ser honesta, deve parecer honesta

A aparência e a reputação de uma organização em posição de destaque, como a ARCH Linux, são tão cruciais quanto sua conduta real. Para manter a confiança e a credibilidade, a empresa precisa não apenas agir corretamente, mas também transmitir essa imagem de retidão, de segurança para o público. Por isso, eu discordo de você. É um desserviço para a imagem da organização manter aberta esta porta de vulnerabilidades.

Vida longa e próspera!

Sim. Não há nada pré-compilado no AUR, apenas scripts. Em sites de paste ocasionalmente há scripts, geralmente quando são um pouco grandes, a serem rodados na máquina do usuário.

Em ambos os casos, ou confiamos em quem envia, ou auditamos o conteúdo.

Fico pensando qual o sentido de trazer esses conceitos de segurança de informação aqui quando já está claro que tanto o Arch (em termos de repositórios oficiais) e o AUR estão funcionando exatamente como foram projetados e não ocorreu nenhum incidente além do previsto aqui. O malfeitor sequer invadiu o pacote pré-existente do Chrome.

Não gosta do AUR (ou do risco que ele sabidamente representa), não use. A distribuição faz o possível para conscientizar os usuários.

Resta-nos apenas discordar. A barreira bem menor entre usuário e contribuidor e a facilidade para criar, compartilhar e verificar a qualidade de pacotes é parte do que me atraiu para o Arch e parte do motivo para ele ter tantos recursos de apoio.

Como diz o clichê, com grandes poderes, vêm grandes responsabilidades.

Entendo os dois lados, e vejo que ambos tem vantagens e desvantagens. O que falta é a visão que a opção é justamente opcional.

Mudando o assunto, mas continuando no tema, lembro dos Subaru WRX (08-12) que tinha (ou tem ainda?) a central de injeção programável. Com um notebook e alguns programas qualquer pessoa poderia mudar o mapa de injeção e aumentar a pressão do turbo. E fizeram justamente isso. Muitos fundiram seus motores e roeram suas transmissões.

Então veio o meme do Subaru que quebrava: A opção de customização que, usada sem o devido conhecimento, levou à fama de carro que quebra.

Já a outra versão desse mesmo carro que não tinha turbo, possuía a central lacrada junto com o comando da chave. Ninguém (que eu saiba) conseguiu reprogramá-la. O carro ficou conhecido como extremamente confiável, mas o público alvo era outro: pessoas comuns que queriam se deslocar com segurança e confiabilidade.

Dito isso, há pessoas que preferem futucar e se arriscar, e outras que querem estabilidade. Não há porque pessoas com premissas diferentes competirem pra saber qual premissa é melhor, sendo que cada uma é a melhor pra si.

Naufrago, eu ja entendi que você não gosta do Arch, mas vamos esclarecer algumas coisas sobre o Linux e repositórios:

Debian Based:
No Linux eu posso adicionar qualquer repositório no /etc/apt/sources.list no debian correto?

Então se eu adicionar um repositório e alguem sobe o VSCODE nele com malware e quem mantem esse repositório ainda não verificou esse pacote, o que acontece comigo? R:Peguei um malware e meu sistema ficou comprometido

OU se eu acessar um site e achei legal o FISH que algumas pessoas modificaram, só que nele tinha um malware, e eu compilar ele, o que ocorre? Comprometi meu sistema.

Agora vamos ao Arch Based:
Os repositórios do Arch ficam em /etc/pacman.conf
O AUR NÃO É UM REPOSITÓRIO que você adiciona no arquivo onde ficam os repositórios da distribuição, ele é um repositório onde ficam os FONTES dos programas de outras distros que a comunidade envia para funcionar em uma distro Arch. Se o pessoal quisesse criar um github para fazer isso, seria a mesma coisa.

Para eu poder instalar algum programa dele, eu tenho que ir nele, fazer o download, descompactar e compilar o programa. sudo pacman -S nome do programa (similar ao seu sudo apt-get) não funciona e se eu adicionar o endereço do AUR no arquivo .conf eu vou ganhar um monte de erros, porque ele não é um repositório para esses fins. A grosso modo ele é um repositório cheio de código-fonte de programas que para usá-los é necessário compilar.

Então em ambos os casos, conforme o seu pensamento, Debian e Arch são uma porcaria, pois ele me permitiu adicionar um repositório (no caso do Debian) ou compilar um programa (no caso do Arch) e meu sistema operacional foi comprometido! Cade a segurança dona Debian e dona Arch??? Como vocês não verificam repositórios de terceiros e permitem eu adicionar eles na minha distribuição???

Primeiro você tem que entender como uma distribuição Linux funciona, como o Debian funciona, Cannonical, Arch, Fedora, o que é um repositório oficial, o que é um repositório de terceiro, o que é um repositório cheio de código-fonte de programas e por aí vai.

Por fim, AUR, chaotic-AUR, não tem nada a ver com o Arch. São coisas COMPLETAMENTE DIFERENTES, assim como Microsoft e Apple

Ok… Vamos falar sobre repositórios de terceiros de distros que não tem relatos de problemas como estes do AUR.. Por exemplo… LAUNCHPAD do Ubuntu. Me mostre uma vez que estes repositórios foram infectados ou distribuíram arquivos maliciosos. Você não vai encontrar. A mecânica é outra, a filosofia é outra. Lá existe foco, ferramentas para coibir distribuição de software mal intencionado. Eu estou falando aqui e vocês parecem não querer ouvir: não estou fazendo uma análise tendenciosa. Estou analisando pragmaticamente, fornecendo informações relevantes, que parecem ser totalmente justificáveis aos olhos de quem usa, quando deveria ser obrigação de quem usa esta distro se indignar com o que está acontecendo. Parece que a casa tem uma janela no sótão aberta e todo mundo diz que está tudo bem só porque ela não da acesso ao pavimento principal da casa! Que loucura!
Como alguém que está em fórum técnico olha para criticas sérias como estas, estampado na cara de todos, por meses, e reduz isso a um:

É a imagem da distro que vocês usam! Vocês não tem consciência do mal que isso faz a imagem desta distro fora da bolha dos usuários? Se vocês que usam não conseguem ver a gravidade e se indignarem para fazer aqueles que tem o poder de decisão sentirem a pressão vindo da base de usuários para que sejam tomadas providencias para sanar de vez o problema, talvez estejam contribuindo para o seu fim.
Lamentável. Sinceramente, lamentável.
Vale lembrar que o ARCH não tem por detrás uma empresa como a Canonical ou a HadHat que investe na segurança e imagem. Isto deveria ser feito por sua comunidade, e se outros episódios como estes voltarem a acontecer, as doações ao projeto podem sim sofrer com diminuições. Afinal, quem vai querer contribuir para um projeto manchado? Lá fora não vai chegar os argumentos dos usuários, o que vai chegar é a noticia, é a reputação manchada.
E … sinceramente… acho muitos de vocês não estão preparados para este tipo de discussão… é muita tentativa de tampar o sol com uma peneira, com justificativas, comparações e desqualificação da discussão.
Não é assim que se constrói uma comunidade forte.

Bom… espero que as minhas palavras encontrem em alguns, momentos de reflexão. Afinal, o Groupthink sempre é um risco para qualquer grupo.
Já passei meu recado.

Vida longa e próspera!

Repositórios de software de terceiros não são verificados quanto à segurança ou confiabilidade pelos membros do Ubuntu e podem conter software prejudicial ao seu computador. (Adicionar um PPA – Ajuda do Ubuntu)

Não haver casos de malware no Launchpad é simplesmente questão de ninguém ter tentado, e há casos de código não-intencionalmente malicioso por lá, como o caso de um programa cuja configuração padrão apaga arquivos de configuração de outros programas, e de um PPA que se tornou “premium” e deixou dependências quebradas após atualizações.

Permanece a necessidade de ter cuidado, e ambos utilizam a mesma ferramenta para coibir distribuição de malware: moderadores humanos e denúncias.

Não é no Launchpad, mas é nos pacotes Snaps. E ao contrário ao AUR, os Snaps fazem parte do Ubuntu.

@rapoelho @Cassiano @Capezotte
Parem de alimentar o troll aí em cima. Só digo isso.

Ta difícil entender que o AUR não é do Arch Linux! Que não é repositório

Assim como o Launchpad é do Ubuntu, se você tivesse falando do multilib ou do extra a gente até podia debater.

Não tem como, e eu paro por aqui porque você não conhece sobre o Arch Linux.

OBS: Já esqueceu da Cannonical upando Snaps com Malware??

Chega de alimentar o Troll

Não será possível fazer compreender: o argumento usado no início já cristalizou, e a teimosia prevaleceu apesar de tudo que foi dito. De uma crítica a profissionais considerados “não sérios”, agora a própria “torcida organizada” passou a se comportar de forma equivocada.

Se eu disser que cada coisa tem o seu propósito, é importante reforçar que nunca ninguém defendeu o uso do Arch Linux em serviços críticos no lugar de distribuições LTS, como Debian ou RHEL. Porém, justamente essas LTS, quando se tornam alvos de testes de segurança e pentest, precisam de outra distribuição mais atualizada para realizar as verificações de rotina.

É nesse ponto que o Arch ganha espaço. Muitas empresas de segurança utilizam Arch ou derivados, como o BlackArch, em times de Red Team, justamente porque oferecem acesso imediato às versões mais recentes de ferramentas de pentest. Além disso, são ambientes portáteis e facilmente replicáveis, ideais para consultorias e auditorias.

O Argumento dele não é sobre Arch, mas sobre AUR, o AUR no Steam OS vem desabilitado

Pior que sim, lembra o caso do Alan Pope?

Calma aí que não é tão simples, todas as distros em algum nível tem repositórios “AUR-like” aqui está os do universo Debian um exemplo (curioso inclusive) é esse aqui porque o pacote shc que é legitimo estava apresentando comportamento anômalo malicioso mas assim como no AUR a versão problemática foi removida, porém o usuário não foi punido

Com a diferença que como citado pelo @Cassiano AUR é tecnicamente um GitHub fechado para contribuições, você pode em sentido literal dar um git clone https://aur.archlinux.org/pacote.git como faria no GitHub

O principal problema aqui é que você está analisando o AUR com base em algo que ele não é

Use os snaps e seja um profissional sério.

Ademais, se o Arch não é pro seu uso vá de Windows quem sabe lhe cairia bem. Ou até o poderoso Recall da Microsoft.

É aquela história, a Ferrari não tem culpa se o dono utiliza um combustível adulterado.

O repositório AUR não usa Cloudflare?