Verlässlichkeit der freien Repositories

Gerne lächeln wir GNU/Linuxer über Windows und halten das System für unangreifbar, im ersten Moment. Denn jeder erfahrene GNUler weiß um die Sicherheit seines Systems Bescheid und empfindet es so, wie es in der IT sein soll, es ist ein laufender Prozess. Je mehr Dienste angeboten werden, desto Größer muss der Sicherheitsgedanke sein. Vielen mag nun dieser Eintrag sauer aufstoßen, aber auch dieser Sicherheitsfaktor sollte und muss genannt werden. Freie Repositories.Freie Repositories sind normalerweise, mit Software gefüllt, welche:

  • Unter Debian erst gebaut werden müssen, weil in dem Standard nicht enthalten
  • Restriktionen durch die DFSG für die Software besteht
  • Eine ältere Version nur in den Standardrepositories vorhanden ist und die neue mehr/wichtige Funktion bietet.

Bei der Nutzung eines freien Repositories installiere ich einen GPG-Schlüssel um mir Sicher zu sein, dass diese Software auch jene aus der Quelle ist und nicht verändert wurde. In dem Moment lege ich auch meine Systemsicherheit in die Hände des Paketierers und somit auch meine Daten und gebe Ihm vollstes Vertrauen. Manche kennen den Paketierer persönlich, manche Vertrauen Blind. Und genau der letzte Punkt, sollte jedem, welcher Fremdrepositories nutzt, zu ein paar Minuten des Überlegens und das Schauens zwingen.
Als Beispiel möchte ich Hier, und das meine ich nicht Böse, Debian-Unofficial.org/ nennen. Die Pakete sind 1A, sie sind Sicher, nur haben sie ein Manko. Hierzu nehme ich das Beispiel Opera.Wer sich den Link mal ganz genau anschaut und einen Blick auf die Dati wirft, wird sehen, dass das letzte Update am 03-Jun-2006 12:51 erfolgt. Dies ist bei vielen Paketen so. Hier sollte man argwöhnisch werden. Denn wenn man so etwas einem User anbietet, obwohl schon die Version 9.23 von Opera draussen ist, dann begeht man fatale Fehler. Der User wird in falscher Sicherheit gewogen.

Im Grunde sollte eigentlich der Eigner des Repositories die Pakete raus nehmen, wenn er sie nicht weiter pflegt, ich kenne die Arbeit an einem Repository und muss sagen, dass sie nicht wirklich immer einfach ist und Spaß macht, sowie auch viel Zeit kostet.
Somit sollte jeder User auch immer ein Auge auf die Repositories selber werfen und auch auf Empfehlungen.
Bei letzterem bin ich auf diesen Artikel vom Do, 9. Aug 2007 um 15:40 auf Pro-Linux.de von Nano gestossen. Vielleicht fällt in dem Moment jedem die oben genannten Worte ein und schaut sich mal die sources.list an, welche Nano so feucht fröhlich gepostet hat ;) Dem User nobunto ist es aufgefallen, aber leider wurde der Artikel nie geändert.
Also Augen auf bei dem Vertrauen auf Repositories