L'azione di aggiungere repository non ufficiali (di terze parti) a Linux è pericolosa da sola?
Ad esempio, negli ambienti Debian si potrebbe fare:
add-apt-repository ppa:some_non_official_repository/nor_name
Non intendo il reale download di software da un determinato repository non ufficiale, ma l'azione di aggiungere il repository a un sistema.
L'aggiunta del repository stesso non è pericolosa.
Ma probabilmente dovrai fare un apt update e apt upgrade (o simili) qualche volta dopo aver aggiunto il repository. Il apt upgrade farà sì che qualsiasi software già esistente sul sistema sia aggiornato con una versione più recente, se possibile, non importa se questa versione più recente proviene dallo stesso repository della versione precedente.
Ciò significa che se il nuovo repository appena aggiunto afferma di avere versioni più recenti di alcuni software già presenti nel sistema, verrà utilizzata la versione più recente dell'archivio recentemente aggiunto per sostituire la versione del software esistente. In questo modo è possibile aggiungere al tuo sistema backdoors o solo un software bug con vulnerabilità sfruttabili e questo è sicuramente pericoloso.
Si noti che il contenuto di un repository può cambiare dopo averlo aggiunto come affidabile. Ciò significa che anche se il repository attualmente non contiene software che hai già nel tuo sistema, potrebbe in futuro contenere tale software. Pertanto non dovresti basare la tua fiducia sul contenuto corrente del repository, ma decidi se ti fidi di tutti coloro che possono apportare modifiche al repository.
Di per sé, no, l'atto di aggiungere un nuovo repository troppo il gestore di repository non è particolarmente pericoloso .. e si può sostenere che aggiungere un repository da una fonte attendibile e seguire un aggiornamento / installazione dopo tale repository è stato fidato non è nemmeno pericoloso. Il problema inerente è l'aggiunta di tutti i repository che dicono di offrire le ultime versioni di cose anche il tuo sistema. Non ho nemmeno paura di ammettere che più di una volta ho messo in crisi il mio sistema in un attacco di frustrazione, volendo l'ultima versione di un particolare software e sono stato troppo pigro o troppo vincolato dalle risorse troppo compilato se dal git / svn degli autori / bazar / qualunque cosa utilizzino per la gestione delle versioni.
Leggi altre domande sui tag linux package-manager