C’è un nuovo tool che vorremmo presentare ai power user di Arch Linux che conoscono già AUR: arch-ppa.

Arch User Repository (AUR) è un repository sostenuto dalla comunità per utenti Arch. Contiene le descrizioni dei pacchetti (i PKGBUILD) che ti permettono di compilare i sorgenti grazie al comando makepkg e quindi installarli con pacman. AUR È stato creato per creare e scambiare pacchetti tra la comunità e per aiutarne lo sviluppo.

L’applicazione di cui vi voglio parlare è stata creata da Ryan McGuire e vi permette di creare  una repo personale di Arch Linux sicura per gli utenti. Voi siete i veri e propri gestori della repo, che è salvata in locale (o su un server a cui voi avete accesso) e che vi permette di distribuire pacchetti a tutta la community Arch.

arch ppa tool

McGuire, sviluppatore di arch-ppa, afferma di aver creato questa utilty per rendere l’ecosistema di Arch più sicuro di quanto lo sia ora con AUR. Installare pacchetti di altri utenti attraverso il sistema AUR è infatti completamente a vostro rischio e pericolo, nonostante il controllo attento da parte dei mainteiners di Arch Linux che dovrebbero stoppare immediatamente eventuali tentativi di distribuzione di software malevolo (trojans, malware etc).

Ecco il motivo dell’esistenza di arch-ppa: gestire una repository personale e sicura per distribuire software agli altri utenti. Per ora l’uso di questo tool è limitato a coloro che hanno a disposizione un server.

Se siete interessati potete dare un occhiata a questo tool, tutte le informazioni si trovano sulla relativa pagina GitHub.

  • interessante, vediamo se riuscirà a diffondersi

  • Cristian Martina

    Sai che arch si diffonde.
    Lo uso da anni e non riesco a cambiare

  • Stefano

    Quindi mi state dicendo che un domani per installare un solo programma dovrò aggiungere al pacman.conf miriadi di repo per ogni programma al pari di UBU ? Mi state dicendo che comunque dovrò fidarmi di chi ha creato il pacchetto ( della singola persona) .. Grazie ma credo che AUR non sia così male . Almeno posso controllare se voglio il pkgbuild .. 😀

    • Teo

      Ciao Ste, eh si, ce lo stanno dicendo … ; D

      Comunque la penso come te.

      • Stefano

        😀 volendo esiste anche questo : aurutils

        https : //bbs. archlinux. org/ viewtopic.php ?id= 210621

    • Samael

      Giusto qualche considerazione:
      1) “dovrò”
      Chi ti ha detto che DEVI? Te l’ha ordinato il dottore? Qualcuno è venuto a casa tua e ti ha puntato una pistola alla tempia dicendo che devi usare repository binari e smetterla di usare AUR?
      A me risulta che questo tizio ha creato uno script per facilitare la messa a punto di repository che in svariati scenari possono risultare comodi (vedasi punto 2).

      2) Stai implicando che già *OGGI* non esistano repository terzi.
      Infinality-ultimate, zfs, electron e tanti altri sono distribuiti anche sotto forma di repository binari, generati dai PKGBUILD su AUR e mantenuti dalla stessa persona che gestisce il progetto.
      Molto spesso ci possono essere software commerciali, o roba troppa grossa per essere compilata facilmente. Compilare su una macchina prestante e deployare tramite repository rende il tutto molto più veloce. Naturalmente chi non ha problemi di quel tipo o chi cerca una messa a punto specifica può tranquillamente andare di PKGBUILD e compilarsi il suo pacchetto.

      3) Stai implicando che il controllare un PKGBUILD renda il tutto più sicuro, quando non è così.
      Il controllare il PKGBUILD non ti porta alcun vantaggio pratico, dato che ciò che viene descritto all’interno di esso sono solo le procedure di compilazione, che non sono di alcuna utilità se non per mera documentazione fine a sé stessa.
      Sapere che un pacchetto è stato compilato con un ./configure –prefix=/usr ecc. anziché con un ./waf configure (come mpv) non interessa a nessuno. Nemmeno a chi deve debuggare un pacchetto (ovvero, al pacchettizzatore).
      Senza contare che se c’è un errore nel pacchetto NON è detto che sia descritto nel PKGBUILD, anzi…
      Molto spesso ci sono software che installano di testa loro i file in directory diverse da quelle previste, anche se lo specifichi in fase di compilazione. O persino casi di software che non compilano per errori vari. E l’unico modo per risolverli è intervenire a mano.
      E ti posso assicurare che del 99% di quelli che si mettono in bocca parole tipo “AUR è più sicuro” non sanno manco da dove cominciare a mettere mano sul sorgente del software.

      4) Se sei così diffidente dei repository binari, perché usi core, extra, multilib e community? Dopotutto ti devi fidare anche lì, no?
      E NO, prima che tu venga a dire che quelli sono sicuri, ti rispondo subito che non è vero, dato che Arch è tristemente nota per aver avuto svariati problemi con i loro repository ufficiali, partendo da casi di upgrade sconsiderati e finendo a dipendenze non segnalate.
      L’altro giorno feci l’esempio di wxgtk2.9 che ruppe la compatibilità e creava problemi con tutti i software che ne facevano uso (Aegisub 3.0 in primis) e lo sviluppatore si rifiutò di downgradarlo perché andava contro la filosofia della distro. E sia Aegisub che wxgtk2.9 erano pacchetti UFFICIALI, mica roba di AUR. Il problema venne corretto in upstream solo un mese dopo.
      Oppure la storia di GNOME 3.10 che non segnalava le dipendenze di telepathy utili per GNOME Online Accounts. E anche qui si parlava di roba UFFICIALE.
      Naturalmente se pensi che siano balle, puoi sempre fare una piccola ricerca su Google.

      5) AUR non è male? AUR è una fogna.
      Per carità, il PKGBUILD ha una sintassi semplice e pulita, e l’idea di un repository fatto solo di essi è molto carina.
      Il problema è che all’atto pratico è diventato un porcaio di roba con sintassi obsoleta, roba orfana e spesso ancora con un maintainer non rintracciabile registrato, roba che non compila e mantenuta alla volemose bene.
      Certo ci sono anche PKGBUILD ben fatti e che compilano senza problemi, non lo metto in dubbio; ma l’asticella della qualità del repository rimane comunque piuttosto bassa.
      Mi ricordo ancora le risate su brightd dove al pacchettizzatore gli vennero segnalati più volte i problemi con un PKGBUILD che aveva addirittura gli hash che differivano dai sorgenti e il sorgente non compilava a nessuno a causa degli inline nelle funzioni C. Ma lui non riusciva a correggerlo perché per qualche combinazione astrale nel suo caso andava tutto benissimo. Solo a lui, però.

      Se pensi che i repository binari non siano degni di fiducia, allora la distro che fa per te è {Gen, Fun}too non Arch. Almeno lì gli ebuild li curano.

      • gigilatrottola

        e te pareva se il saputello non doveva fare il Bastian contrario… ma va a ciapà i ratti .

        • Samael

          Quindi fammi capire: se uno dà giudizi su un tool dicendo che AUR è più sicuro va bene, se un altro fa delle critiche specifiche (sì, se hai notato non sono stato generico in nessun punto) è un bastian contrario?

          Cos’è, Arch è diventata una religione intoccabile?

          • gigilatrottola

            Certo certo, AUR è una fogna, i repo core – extra – multilib e community non sono sicuri, gli upgrade sono buggati… e poi ?
            Linus Torvalds è un pedofilo ?

          • Samael

            Non lo so se è un pedofilo, non faccio accuse su cose di cui non ho la certezza. Si chiama diffamazione ed è un reato punibile per legge.
            Quello che ho contestato ad Arch è provato. Come ho già detto: fai una ricerca su Google (i problemi che ho elencato sono precisi, eh) e scoprirai che c’è persino il bug report sul bugzilla ufficiale, oltre che vari thread sul forum.

          • gigilatrottola

            i problemi che hai elencato sono comuni a TUTTE le distro, fatevene una ragione voi. Ubuntu con i suoi PPA che oggi ci sono e domani chi lo sa. Anche per Debian la stessa cosa, repo di terze parti che oggi ci sono e domani no.
            Ma cosa mi tocca leggere… Tu che sei così “acuto” nel rilevare e identificare i problemi, oppure solamente a constatarne l’ esistenza… tu cosa fai ?
            Perché non crei una bella distro “perfetta”, sicuramente tu ne saresti in grado, vero ? Facci vedere … Illuminaci.
            Sai, a parole è facile , ma un vecchio detto recita:
            ” Lingua lunga, mano corta “

          • Samael

            E allora? Chi ha detto che altrove le cose vanno meglio?
            Si è semplicemente parlato di come l’avere un repository binario terzo non renda le cose meno sicure o comunque peggiori della situazione attuale.
            Tu sei l’unico che sta imbastendo questa polemica ridicola, dimostrando di essere un tipico fanboy che non accetta niente che non siano lodi al suo giocattolo preferito.

            Riguardo al cosa faccio io, non ti preoccupare. Chi mi conosce sa cosa ho fatto nelle comunità in cui sono stato.
            Ma a prescindere da questo: qui non si sta parlando di cosa io, tu o altri qui dentro fanno nella vita. Quello lo stai facendo solo tu per sviare il discorso, dopo aver scritto post pieni di nulla. Giusto per darti un tono, cercando l’approvazione del pubblico.

            Cercare di attaccarsi al cavillo della persona per invalidare un argomento è un tentativo infantile che non fa altro che evidenziare una mancanza di argomenti di fondo.

          • gigilatrottola

            ma per favore, ad ogni articolo che commenti ti atteggi come quello che ha la verità in tasca, l’ unico che sa e ha capito come stanno realmente le cose, sei tu che cerchi qualcosa dalla gente, non io. Rifletti !! Cosa vuoi dimostrare ?

          • Samael

            Cosa voglio dimostrare? Semplice: che sebbene altri (non io) ti abbiano chiesto di argomentare tu non l’hai fatto, e che la persona a cui ho risposto all’inizio – a differenza tua – il post l’ha capito e mi ha risposto di conseguenza.

            Se poi ti rode il fatto che ciò che abbia detto corrisponde al vero è un tuo problema. Mi spiace per te.
            Io non ho la verità in tasca, semplicemente parlo solo quando so di cosa sto parlando, scrivendo post in cui espongo argomenti precisi, come ho fatto all’inizio. Argomenti che tutti possono verificare.

          • gigilatrottola

            E cosa dovrei argomentare ? Le tue sono solo critiche, come sempre tra l’ altro, per giunta nemmeno costruttive.
            Giusto per chiarire, non utilizzo Arch e non ho nessun interesse a difenderla a spada tratta.

          • Samael

            Costruttive? Tipo quelle che stai facendo tu adesso? Ah beh.

          • mikronimo

            La perfezione non esiste, fattene una ragione… le critiche ci stanno e parla uno che usa manjaro, per lo scopo di avere meno problemi di aggiornamento, dato che si può parlare di una rolling lenta, in cui gli aggiornamento vengono rilasciati dopo maggiori controlli che in Arch puro.

          • ange98

            Cos’è, Arch è diventata una religione intoccabile?

            Per molti (anche per me tempo fa, lo ammetto hahah) si.

        • mikronimo

          Ma che maniera di rispondere sarebbe, questa? E’ stata data una risposta precisa e dettagliata… se non ti convince (e non dico che sia oro colato, non ne ho le competenze), fatti le tue belle ricerche e contesta punto per punto; come fai tu è solo maleducazione…

          • gigilatrottola

            e tu chi sei ? L’avvocato ? è grande e vaccinato e non gli manca certo l’arte oratorio per difendersi da solo.

          • gigilatrottola

            edit: l’ arte oratoria.

          • mikronimo

            Visto che disqus ha moderato la mia risposta, riprovo: non difendo lui, rispondo ad un co@lione che non sa comportarsi e che ha messo su una rottura di caxxo infinita, perché non accetta critiche a qualcosa che neanche è suo…

          • gigilatrottola

            aaaaahhh, tu si che sei educato. Allora imparo da te, avvocato.

          • mikronimo

            Nella tua ignoranza sia civile che informatica, confondi l’aggressione (la tua), con la risposta… di fatto mischi patate e mele; io mi difendo da un chiacchierone che si vede non ha di meglio da fare che saltare alla gola di chiunque non si chini alle sue parole.

          • gigilatrottola

            Cresci va, ancora non hai capito una mazza.

          • mikronimo

            Le parole di chi non ha argomenti…

      • Stefano

        Touchè .. in effetti è condivisibile il tuo ragionamento.Dopo il passaggio ad aur4 molti pacchetti si sono pure persi e alcuni sono stati ricaricati solo per il gusto di dire “ok ci penso io , lo adotto ” poi però viene mantenuto alla meglio peggio

        • mikronimo

          La fortuna è che non essendo programmi di sistema, se non si riesce ad installarli, non è questa tragedia e purtroppo è successo che qualcuno non funzionasse dopo qualche aggiornamento; succede che dopo del tempo, vengano sistemati.

        • Samael

          Il problema di Arch è che la comunità ha permesso a cani e porci di uploadare quello che volevano su AUR.
          Una volta non era così: AUR era gestito dai Trusted User che erano membri della comunità che si erano contraddistinti per competenza e presenza.
          Di conseguenza le cose funzionavano in maniera simile a SlackBuilds_org. Ovvero, si sottoponeva il tarball contente il PKGBUILD e tutti i file necessari, uno dei TU lo visionava, lo testava e se rispettava lo standard faceva il commit.

          Poi però la comunità è diventata sempre più grande, le richieste sempre di più e si decise per una mossa più democratica. Ma i risultati sono stati disastrosi, perché spesso ci si ritrova con roba su AUR fatta da gente che non sa manco come si compila un software, ma ha preso pezzi a caso dal wiki e da altri PKGBUILD e li ha pubblicati. Ed è per questo che ci ritrova in situazioni come quella di brightd.

      • gigilatrotttola

        1) si, sarà obbligato perchè se un’ applicazione necessaria non sarà più reperibile su AUR, dovrà per forza di cose prelevarla dal “nuovo repo”

        2) Esistono repositori terzi ma si contano sulle dita delle mani

        3) Controllare il PKGBUILD non serve a niente, ma su tutte le altre distro, anche se in modo differente, avviene la stessa cosa. Quindi questa è un’ osservazione “stupida”, per non parlare delle distro che compilano tutto in locale o dei BSD, dove è sufficiente un man-in-the-middle per infilarti un sorgente “”discutibile” durante il download degli aggiornamenti e sei tu stesso a compilarti il malware sul PC e neanche te ne sei accorto.

        4) si presume che i repo binari ufficiali siano affidabili, anche questo vale per tutte le distro, qundi se non lo sono per Arch non lo sono anche per qualsiasi altra distro.

        5) AUR è AUR, come i PPA sono i PPA, se puoi migliorarlo fallo, altrimenti non sputare nel piatto dove mangi o dove hai mangiato, anche se a mangiarci è il tuo vicino e non sei tu e come ha detto il tuo avvocato, la perfezione non esiste.

        • Samael

          1) Chi te l’ha detto che il PKGBUILD non sarà reperibile? Su che base parli? La tua è una mera ipotesi basata su personali supposizioni.

          2) E quindi? Anche se fossero solo due il punto rimane quello.

          3) E chi se ne frega che sulle altre distro avviene la stessa cosa? Il punto che Stefano ha posto è che il PKGBUILD è più sicuro di un pacchetto binario. E ho già spiegato che le cose non sono necessariamente così.
          Riguardo l’etichettare l’affermazione come stupida, avrei di che ridire dato che non mi pare tu abbia portato delle contro-argomentazioni. Quindi il tuo giudizio lascia il tempo che trova.
          Per quanto riguarda il BSD ed i rischi di un MITM negli aggiornamenti: hai prove riguardo ciò che stai dicendo? O sono cose che ti stai inventando di sana pianta? No, perché di backdoor su OpenBSD si parlò un po’ di tempo fa, anche se non fu mai trovato nulla. Ma mettere in mezzo tecniche di attacco come il MITM mi sembra un po’ strano.

          4) Nessuno ha detto il contrario, tuttavia qui si sta parlando di Arch. Non di altre distribuzioni.
          Senza contare che il fatto che su Arch ci siano state certe situazioni non vuol dire che TUTTE le distro condividano le stesse problematiche. Le colpe sono sempre personali e mentre io ho fatto nomi e cognomi citando casi specifici, la tua è un’accusa gratuita e qualunquistica.

          5) Te l’ho già scritto più sotto: scrivere commenti populisti per cercare di trovare il favore dei lettori non rende le tue argomentazioni più valide.
          Io ho fatto delle osservazioni oggettive. Che ti piacciano o meno, la realtà è quella che è.

          • gigilatrottola

            1) quindi invece secondo te ci sarà lo stesso pacchetto su 2 location differenti ?
            AUR + il repo “personale” ?

            2) Tra due e cinquanta c’è una bella differenza, soprattutto considerando il fatto che questi cinquanta, conterranno ALMENO cinquanta pacchetti che non saranno controllati dai mainteiners di Arch.

            3) No, Stefano non ha detto questo, ma ha sottolineato il fatto che ci si dovrà fidare di una persona , che è colui che gestisce il pacchetto, senza che il pacchetto venga controllato da altri.

            4) la sicurezza assoluta non esiste, senza andare troppo lontano ti ricordo l’ episodio accaduto poco tempo fa con la ISO contraffatta di Mint 64 bit Cinnamon, sostituita proprio nei loro repo ufficiali.
            Il Team di Mint è stato onesto ed ha diffuso la notizia lanciando l’ allarme, altri …

            5) Te l’ho già detto che io non cerco nessun favore dai lettori, non mi viene in tasca niente e non me ne può fregar de meno, non sono un politico che deve farsi eleggere , tuttavia noto che è la seconda volta che me lo dici, forse inconsciamente lo temi ?

          • Samael

            1) E di nuovo: è una tua supposizione non supportata da fatti

            2) No, non c’è nessuna differenza.
            Il mio discorso era chiaro: esistono già oggi i repository terzi? Sì.
            Fine della discussione. Quanti essi siano è irrilevante ai fini del punto da me espresso.

            3) Che equivale a dire che il PKGBUILD in sé è più sicuro, cioè quello che ho scritto io.
            Che fai, vuoi giocare con le parole tanto per portare avanti questa tua inutile polemica?
            Tra l’altro noto che sulla questione BSD e MITM hai sorvolato.

            4) E di nuovo: si sta parlando di Arch e dei problemi con il suo repository.

            5) Quindi fai polemica sterile priva di argomenti tanto per fare brutte figure? Ah beh, contento tu.

          • gigilatrottola

            Stai cominciando a girare la frittata e al contrario tuo, a me non importa di fare brutte figure, anche se in questo caso la figuraccia la stai facendo tu., vedi il punto 4, prima mi chiedi di portarti esempi concreti, addirittura con nomi e cognomi e dopo averti citato il caso di Mint tu rispondi che si sta parlando di Arch… Mah.
            ..
            Riguardo al BSD ed al MITM ho sorvolato volutamente ed ho le mie ragioni, ma le backdoor non centrano nulla e non sono a conoscenza dell’ esistenza di queste ultime sul BSD, iil punto focale è il MITM che non è una procedura così remota e poco diffusa come si tende a credere.

          • Samael

            No, guarda frittate non ne giro e difatti i miei post sono sempre coerenti dal primo all’ultimo.
            E sì, ti rispondo che si sta parlando di Arch e dei suoi repository dato che hai detto che i problemi da me riportati erano comuni a TUTTE le distro, salvo il fatto che te ne sei uscito con la ISO di Mint che non c’entra niente con i problemi da me descritti, che erano di tutt’altro tipo.

            Riguardo al BSD hai sorvolato volutamente per un semplice motivo: hai buttato parole a caso e non sei in grado di dimostrare nulla. Come per tutto il resto.

          • gigilatrottola

            ahahahah …. certo, certo… Hai ragione.
            Usi ancora Slackware ?

          • Samael

            E ancora una volta: argomenti zero…

          • gigilatrottola

            La tecnica ” argomenti zero ” la utilizzi un po’ troppo spesso , ormai stai diventando monotono e prevedibile, al fine di voler aver ragione a tutti i costi ad ogni discussione e con chiunque.

          • Samael

            Non è mica colpa mia se tendi a sviare gli argomenti, eh. Mi limito solo a constatare come rispondi.

No more articles