[過去ログ] Arch Linux 16 (1002レス)
上下前次1-新
このスレッドは過去ログ倉庫に格納されています。
次スレ検索 歴削→次スレ 栞削→次スレ 過去ログメニュー
426: 2021/06/05(土)11:27 ID:rxxmL233(1) AAS
>>425
バイナリもあるよ
なんとか-bin
って名前だとバイナリ
なんとか-git
だと、gitからソース拾ってきてビルドしてくれる
他には、appimegeとかもたまに転がってる
ビルドするヤツでも、pkgbuidファイル更新してくれないと
自動更新で再ビルドとかできないから
最終更新日とか
省4
427: 2021/06/05(土)12:32 ID:5iNQ3Cfb(1) AAS
>>425
arch wiki くらい読めよ……と思ったが、思想・方針的な話はあんまり書いてないな。
「AUR は……人気のあるパッケージが [community] リポジトリに取り込まれるように、コミュニティの手で新しいパッケージを共有することを目的に AUR は作られました。」
AURはもともとパッケージ開発を目的としているので、パッケージビルドスクリプト(PKGBUILD)を共有/パッケージそのものは自分で作れ、という文化。PKGBUILDの中身はbashスクリプトなので、ソースコードからフルビルドするものもあるし、ビルド済みプログラムをダウンロードするものもある。そこはPKGBUILDの作者次第。
428(1): 2021/06/05(土)16:21 ID:B1qtDcKt(1) AAS
何で人気のあるパッケージyayをcommunityに取り込まないのかは謎だな
429: 2021/06/05(土)16:40 ID:NweQ+dHU(1) AAS
yayはほとんど開発止まってる状態だからなぁ
430: 2021/06/05(土)16:46 ID:feTpHSLl(1) AAS
>>428
yayに限らず、AURヘルパーは公式でサポートしない方針。
431(1): 2021/06/06(日)09:28 ID:wXkFidGg(1/5) AAS
昔フォーラムでQAが存在しないユーザーリポジトリからのインストールを自動化するようなアプリは公式リポジトリには入れたくないって偉い人が言ってたけど、
じゃあmakepkgするときいちいちスクリプトや参照先のソースを監査してるのかいって言う話になるし、実際大多数の人間は細かいこと気にしないでyayとか使ってるわけだが
432: 2021/06/06(日)09:45 ID:VS6NV8N8(1) AAS
え?流石にスクリプト眺めるよね
433: 2021/06/06(日)10:13 ID:1KiejOoB(1) AAS
AURは自分で判断ができる程度の数のパッケージしか入れないわ
それこそ公式に合わせてリビルドが必要なこととか忘れて後からどうしてなのか悩みたくないし
434(2): 2021/06/06(日)10:18 ID:wXkFidGg(2/5) AAS
ぼーっと眺めてても単純な記述ミスにすら気づかない自信があるし真面目に1行ずつ読んだところで悪意を持って巧妙に隠されたら気づかないだろうから気にしてない
そもそもまじめにソース確認する人ばっかりだったらbinパッケージなんてものはAURに存在しないだろう
435(1): 2021/06/06(日)10:18 ID:aOYI2ixi(1/2) AAS
メンテ放棄されてたacroreadに悪意のあるスクリプト注入されてたのもう忘れたか
436: 2021/06/06(日)10:27 ID:W03oLUaO(1/3) AAS
>>431
> 実際大多数の人間は細かいこと気にしないでyayとか使ってるわけだが
だーかーら、そういうスタンスの人はあえてArch使う必要なんかないんだって
AURは素晴らしい
が、それはAURを公式リポジトリさながらに使いましょうということを全く意味しない
Archのミニマルな思想と利便性の間を取り持つためにAURは存在するんだってなぜ分からない
思想なんか関係ないよと思うなら正にArchなんて使う必要はない
437: 2021/06/06(日)10:27 ID:W03oLUaO(2/3) AAS
>>434
> そもそもまじめにソース確認する人ばっかりだったらbinパッケージなんてものはAURに存在しないだろう
……バカ?
438(1): 2021/06/06(日)10:30 ID:2deWSUVA(1) AAS
>>434
多分スクリプトはaurのパッケージを作るスクリプトを指してると思う。
binを使うのはわざわざ自分のマシンでコンパイルしても大して最適化されないものだよ
439(1): 2021/06/06(日)10:34 ID:izdMdqc0(1/2) AAS
まあ好ましくはなくても自己責任で「見てもわかんねーしまぁいっか」って判断してもそれはそれで別に悪くないっしょ
悪いのはわざわざ「AURは誰でもアップできるから自己責任で使えよ!」って太字で書いてあるのに何も理解しないで使って問題が起きたら騒ぐガイジ
440: 2021/06/06(日)10:35 ID:CrfWGWoG(1/3) AAS
それはそうと、AURで多くの人にインストールされててかつ公式のアプデに取り残されてシステムに深刻な影響を及ぼしうるパッケージって何かね
自分の環境眺めてみたら有名どころは nkf と displaylink と slack と zoom くらいしかなかったし平和なもんだ
441: 2021/06/06(日)10:37 ID:CrfWGWoG(2/3) AAS
>>439
両者、層が被ってそう
442: 2021/06/06(日)10:52 ID:wXkFidGg(3/5) AAS
>>438
ソースURLに適当にでっち上げたサイトのURL書いとくだけで何だってできるのにPKGBUILDだけちらっと眺めてどれほどの意味があるのか
443: 2021/06/06(日)11:16 ID:izdMdqc0(2/2) AAS
>>435の言ってる奴とかはcurlでダウンロードしてbashに渡すみたいな隠そうともしない露骨に不審な奴だったから眺めるだけでも割と気づけそうだし全く意味無くはないだろうとも思うけどね
ただ俺は全部チェックしてるって言うやつはじゃあ
Nodeに依存するパッケージがnpmでインストールするパッケージの中身まで全部把握してんのか?
Rustに依存するパッケージがcargoでインストールするクレートの中身まで全部把握してんのか?
みたいな話になるし現実的に個人が100%もれなくチェックするなんて無理だしな
結局「意味ないからお前らも見なくていいーよ☆」っておおっぴらに開き直って良いもんでもないし逆に「隅から隅までチェックしろ!!!」って強制するもんでもないし
リスクを承知した上でそれぞれが自己責任で利便性との間で適当にバランス取るしか無いわな
444: 2021/06/06(日)11:19 ID:0EY+YWu9(1) AAS
上流でウイルス混入してるのと
AUR自体のスクリプトにウイルス入ってるのは別問題じゃね?
そういうの嫌だったら普通にUbuntuとか使えば良いんじゃね?
なぜArch?
パッケージ新しいから?
445(1): 2021/06/06(日)12:05 ID:wXkFidGg(4/5) AAS
アップストリームに問題なくてもAURのパッケージメンテナに悪意があったら何だってできるわけ
PKGBUILDのソースURLがmozila.orgかもしれないしkernel.netかもしれないしパッケージ名っぽい独自ドメインかもしれないしgithabかもしれないし
実はユーザー名が一文字足りないかもしれないし一見普通のユーザーかもしれない
あるいはソースは本物でもパッチの一つに何か仕込まれているかもしれない
ソースパッケージだったらダウンロードして確認ということも原理的には可能だがバイナリパッケージだともうどうにもならない
まぁarch wayの伝道者ともなるとバイナリパッケージからでも余裕でソースコード復元できるみたいだが一般人には普通のソースコード監査すら厳しいからね
上下前次1-新書関写板覧索設栞歴
あと 557 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.169s*