页次: 1
在 pacman.conf 添加 archlinuxcn 源后可以搜到很多 AUR 包,为什么会有这些包?不是应该由用户自行构建安装的吗?
如果我想检查 PKGBUILD,怎么查看 archlinuxcn 源提供的 AUR 包的 PKGBUILD?是否和 https://aur.archlinux.org/ 提供的一样?但是我怎么确切地知道直接通过 pacman 下载 archlinuxcn 源提供的 AUR 包的 PKGBUILD 与 官方 https://aur.archlinux.org/ 的一样呢?
> pacman -Ss yay
community/ruby-yard 0.9.14-2
YARD is a Ruby Documentation tool. The Y stands for "Yay!"
archlinuxcn/pikaur 1.3.6-2
AUR helper which asks all questions before installing/building. Inspired by pacaur,
yaourt and yay.
archlinuxcn/pikaur-git 1.3.6.r13.ge168895-1
AUR helper which asks all questions before installing/building. Inspired by pacaur,
yaourt and yay.
archlinuxcn/yay 9.1.0-1
Yet another yogurt. Pacman wrapper and AUR helper written in go.
archlinuxcn/yay-git 9.1.0.r10.g8ebc41d-1
Yet another yogurt. Pacman wrapper and AUR helper written in go. (development version)
-----
还有个小问题,在 http://repo.archlinuxcn.org/ 有个 archlinuxcn-2018.09.06-x86_64.iso 是什么文件?汉化后的 archlinux 吗?
离线
archlinuxcn 源的 PKGBUILD 位于 https://github.com/archlinuxcn/repo ,不一定与 AUR 一致。
archlinuxcn-2018.09.06-x86_64.iso 是支持中文显示内核(linux-lily)和 zfs 等的 Arch live ISO。
离线
archlinuxcn 源的 PKGBUILD 位于 https://github.com/archlinuxcn/repo ,不一定与 AUR 一致。
这样不好吧,查看还是不方便。希望像官网一样有一个可以在线浏览的网站来查看。而且感觉不安全,如果维护者插入恶意代码的话,由于国内用户远少于国际,会有人来监督吗?
离线
这样不好吧,查看还是不方便。希望像官网一样有一个可以在线浏览的网站来查看。而且感觉不安全,如果维护者插入恶意代码的话,由于国内用户远少于国际,会有人来监督吗?
AUR 那个 web 界面也没有方便很多呀。如果你来帮忙弄一个类似的 web 界面当然更好了~
安全性的话,这个比 AUR 更安全哦~因为 archlinuxcn 的维护者有审核的,而 AUR 是任何人都可以注册并上传东西的。另外这个项目也有国际用户的。
离线
AUR 那个 web 界面也没有方便很多呀。如果你来帮忙弄一个类似的 web 界面当然更好了~
安全性的话,这个比 AUR 更安全哦~因为 archlinuxcn 的维护者有审核的,而 AUR 是任何人都可以注册并上传东西的。另外这个项目也有国际用户的。
真的有检查吗?为什么我看的基本上是 lilac 这个 bot 在自动提交,根据这里描述 https://github.com/archlinuxcn/lilac/bl … /usage.rst ,好像完全自动化不需要人工干预了。
离线
每个包最初的文件是由维护者提交的。
离线
每个包最初的文件是由维护者提交的。
这样不好啊,去年才爆出在AUR中发现恶意软件。盲目信赖更新迟早会出事。我觉得 archlinuxcn 这个 repo 没必要存在,如果用户有需要直接去官方下载好了。
离线
这好像又回到了开源软件代码审核的问题上了;
我觉得在理论上,所有开源软件都存在这个问题,包括但不限于官方仓库;
唯一的解决方案,是对目标软件代码全部进行人工审核,但这不现实,典型的重复工作,而且工作量还大得不行;
还有,万一作者水平太高,代码审核也有可能审不出来;
最近编辑记录 驿窗 (2019-02-20 22:11:37)
开源/Linux大众化,从驿窗开始~
离线
依云 说:每个包最初的文件是由维护者提交的。
这样不好啊,去年才爆出在AUR中发现恶意软件。盲目信赖更新迟早会出事。我觉得 archlinuxcn 这个 repo 没必要存在,如果用户有需要直接去官方下载好了。
archlinuxcn 源中的包都會經過 Arch Linux CN 成員審核,每個包都有相應的在 Arch Linux CN 的維護者,且會斟酌該包的必要性和安全性,也是為了能夠更方便大家無需再在本地編譯。有些包甚至會被我們改動很多確保符合 Arch Wiki 的打包的規範條例。
若實在擔心安全性,您完全可以不使用該源,您可以自己斟酌。
最近编辑记录 OriginCode (2019-02-21 20:33:40)
にゃあ!無知的野貓
离线
我好像知道楼主要问的是什么了……
最初是经过审核过的没问题,但是AUR更新以后archlinuxcn没有任何附加的审核就跟着更新,这里是不安全的。
不过无论如何,只要你觉得archlinuxcn项目维护者是可信的,那么这个项目一定不比AUR更不安全……
最近编辑记录 yw662 (2019-02-21 20:41:12)
ecmascript是世界上最好的语言
离线
这样不好啊,去年才爆出在AUR中发现恶意软件。盲目信赖更新迟早会出事。我觉得 archlinuxcn 这个 repo 没必要存在,如果用户有需要直接去官方下载好了。
你也迟早要死的,所以你就不活了?
你觉得没必要,不用就好了。
你要知道很多中国大陆用户从国外下载软件很费力的。
你要知道即使有优质的网络,有些包编译一次需要一个小时以上的。当然还有磁盘和内存的要求。
你不需要就别用。但你无法代表那些需要的人。
离线
那好吧。谢谢各位解答。
离线
页次: 1