После недавних инцидентов с вредоносным ПО в Arch User Repository (AUR) Chaotic-AUR, репозиторий предварительно скомпилированного программного обеспечения для Arch Linux, вводит меры для повышения безопасности и доверия. В ответ на рост угроз, таких как CHAOS RAT, Chaotic-AUR теперь будет требовать человеческой проверки для определённых обновлений на основе доверенности разработчиков.
Chaotic-AUR вводит список доверенных разработчиков, который будет включать только тех, кто зарекомендовал себя как надежный и не имеет истории распространения вредоносного ПО. Когда обновление программного обеспечения будет готово к выпуску, его разработчики будут проверены по этому списку. Если все разработчики доверенные, обновления будут проходить как обычно. Если есть недоверенные, процесс проверки обновлений будет зависеть от их характера.
Для незначительных обновлений, таких как изменения версий или хешей, дополнительные проверки не потребуются. Однако более значительные изменения потребуют проверки человеком перед утверждением.
Хотя эти меры безопасности многообещающие, их долговечность всё еще неясна. Команда Chaotic-AUR признаёт трудности поддержания процесса проверки для недоверенных обновлений и приглашает сообщество участвовать в этом процессе.
Chaotic-AUR упрощает установку программного обеспечения, позволяя пользователям использовать стандартные команды управления пакетами Arch без необходимости вручную компилировать пакеты из AUR. Эта доступность оказалась двусторонним мечом, так как она способствует быстрой установке обновлений и увеличивает риск вредоносных программ.
Как пользователь Chaotic-AUR, приятно видеть проактивные шаги к обеспечению безопасности репозитория. Однако полезно было бы получить больше информации о критериях для включения разработчиков в список доверенных и о скорости проверки недоверенных обновлений.
Добавить комментарий