Repository non ufficiali: essere o non essere?

Pubblico a uso dei posteri una mia breve spiegazione sul perché e per come i repository non ufficiali sono a volte raccomandati a volte largamente sconsigliati.
Come al solito la virtù sta nel mezzo, subito di fianco al buon senso.
Premetto che la spiegazione si intende essere generica e indicativa, ma l’utente del forum LinuxQualityhelp a cui ho risposto proprio con questa spiegazione mi ha detto che gli è sembrata buona!


Domanda:
“In ogni caso mi chiedo se è del tutto affidabile attivare e tenere attivo dei repository aggiuntivi di Lauchpad, o questo non può andare a scapito della sicurezza di Ubuntu.
[…]
Perciò mi chiedo e soprattutto vi chiedo, tutto il software che finisce su Launchpad con un repository PPA è sicuro al 100%?”

Mia risposta:
I problemi principali riguardo alla gestione di repo aggiuntivi tipo i PPA (che ci tengo a sottolinearlo sono repository personali anche se pubblicati su launchpad.net) o più in generale altri canali di terze parti, consistono principalmente nel fatto che un repository aggiuntivo mette a disposizione del software il cui funzionamento spesso non è testato insieme al resto dei pacchetti del sistema operativo. Questo vale per tutte le distro: Ubuntu, Debian, Feodra, OpenSUSE e via dicendo.
Non che lo si faccia apposta, è fisiologico, e i repository di tipo personale servono proprio per distribuire facilmente applicazioni e non intere distribuzioni.

A volte capita però che i software distribuiti si appoggino su librerie o versioni di software che non sono presenti nei repository del sistema operativo utilizzato, e quindi necessariamente tali dipendenze vengono incluse nei repo.
Tali inclusioni a volte possono causare instabilità del sistema nel momento in cui alcuni pacchetti (programmi, librerie o altri file contenuti nel pacchetto) vanno in conflitto con quelli forniti dal sistema operativo.
Ecco perché in generale un sistema tende ad avere più problemi di stabilità con molti repository aggiuntivi non “ufficiali” rispetto ad uno che usa solo i repository ufficiali della distribuzione.

Per quanto riguarda la sicurezza dei software che si trovano in giro, direi che aggiungere un repository esterno a una distribuzione o scaricare un binario shareware per windows non cambia molto: dipende dall’autorevolezza di chi distribuisce un software.
Per fare un esempio concreto: se ti serve un’applicazione per windows e una per Linux e le trovi entrambe (download del precompilato o istruzioni per repo aggiuntivo) solo su un sito pieno di banner pornografici, probabilmente non è molto affidabile.

Nella particolare fattispecie di launchpad.net l’unica garanzia che ti da Canonical è che il software messo a disposizione tramite gli account gratuiti di launchpad è OpenSource, come puoi vedere qui: https://help.launchpad.net/Legal/ProjectLicensing
Altrimenti è necessario un account a pagamento: https://launchpad.net/+tour/join-launchpad#commercial


Se volete leggervi tutto il thread potete trovarlo qui:
http://www.linuxqualityhelp.it/supporto/viewtopic.php?f=10&t=691&start=0

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.