Как можно проверить, безопасно ли скачивать приложение с загрузчика Manjaro Linux?

Question

[wincrx]

У меня подключены AUR и Flatpak. Как можно убедиться, что програмка, которую я собираюсь скачать, безопасна? Например, только что скачал оттуда Netflix, как понять, что она не украдет мой пароль и почту, которую я собираюсь вводить при входе?

Comments

[Drno]

зачем ей это надо?

[pfg21]

Drno, чел делает фейк нетфликс-приложение и внедряет кейлогер и выкладывает в аур
как максимум крадет пароль-логин. как минимум собирает статистику и продает на сторону.
в обоих случаях какаято денюшка.

Answer 1

[Vladislav]

Если до конца параноить, то никак. Просто не ставь непонятную хрень. Не работай под рутом. Подключай везде 2FA в т.ч. для смены паролей и др настроек.
Ставь пакеты с сайта "производителя", а не с репозитория дистрибутива. Смотри исходники на github.
Гугли [package name] vulnerability.
Flatpak вроде как должен быть более безопасен, но не совсем.
Ещё, как вариант, запускай в Docker и реж трафик через iptables
https://serverfault.com/questions/704643/steps-for...

Answer 2

[GavriKos]

Найти исходники, проанализировать ,собрать из них.
Еще можно кабель интернета топором перерубить - поможет от попыток украсть.
И шапочку из фольги поправить...

А в целом - нет никаких гарантий вообще. У вас в самой манджаре может сидеть кейлоггер и он уже знает ваш пароль

Answer 3

[fenrir]

Сама расшифровка AUR - Arch User Repository намекает что это управляемый сообществом репозиторий с описанием инструкций для компиляции из исходников. Не доверяешь - открываешь PKGBUILD и читаешь что он делает.
С флатпаками никогда не имел дело, но вроде его фишка вообще в том, что они запускаются изолированно, следовательно чтобы ему что-то украсть вам вначале нужно сообщить эту информацию.