MX Linux Forum

Bonjour à tous,

J'ai une machine MX que je vais utiliser comme serveur de VMs pour un site d'e-commerce, pour du dev, la prod... D'ou l'importance de la sécurité dessus.

Ayant remarqué que certains paquets sont marqués comme non-fiables sur flathub, je me demande comment les packet officiels en repo sont vérifiés.
Quelqu'un connait le cheminement d'une version de logiciel et les vérifications faites avant ajout au répos?

Aussi, les applications trouvées sur github sont-elles fiables?
Par exemple, je voudrais installer lunarvim et j'ai donc besoin d'un neovim 0.8 et plus. Il m'est possible d'installer la nouvelle version depuis les sources mais je voie beaucoup de scripts d'install demandant à être en root. Je ne sais pas si un projet open-source avec assez de trafic garantit la sécurité contre les malwares.
M'en méfier est-il la bonne approche?

Comment avoir des logiciels sur ma machine avec la garantie de sécurité contres les malwares et attaques?
Quel est le niveau de sécurité réel des packet en repo qu'on installe avec apt?

Voila, c'est juste quelques questions pour avoir une idée de la provenance des codes que j'utilise.

Ce n'est pas une réponse à toutes vos questions, mais personnellement je pense que vous devez être très prudent à la fois avec les applications que vous téléchargez et avec les "inclusions" que vous apportez dans votre application.

Je ne suis pas un fan de github, mais si vous allez utiliser une partie de ce code, vous devriez être en mesure de vérifier qu'il va faire ce que vous voulez.

Et je ne fais confiance à aucun niveau de code à moins qu'il ne provienne d'une source connue.

Quelqu'un ici peut être en mesure de répondre un peu plus sur la façon dont les fichiers sont vérifiés avant d'être mis dans les repo.


Traduit avec www.DeepL.com/Translator (version gratuite)

Merci pour cette réponse. J'ai tendance à considérer que beaucoup de trafic et de contributions sur un repo git implique qu'un script malveillant serait repéré. Je pars dessu car vérifier les scripts d'install de chaque application est assez compliqué.
Cela dit, je reproduis le fonctionnement de snaps dans l'immédiat mais sans snaps. J'utilise un conteneur avec podman pour confiner les applications compilées depuis un répo git. Pour accéder, au fichiers de mon home, je vais monter les dossiers précis sur lesquels je travaille dans le conteneur à chaque utilisation. Comme ça, je limite fortement tout risque.

Mais je ne sais pas comment les packets MX sont vérifiés. Ni la politique concernant les packet contrib ou non-free. Je sais qu'ils sont activés mais pas si ce n'est que pour les firmware comme Debian ou pour des packet propriétaires installés par défaut de façon plus permissive.
Ce serait bien qu'on puisse voir la license d'un packet et dépendances dans l'installateur de packets.