El repositorio Arch Linux AUR contiene software impulsado por la comunidad que es seguro de usar si toma algunas precauciones simples. Incluso si no comprende las secuencias de comandos de shell, hay indicadores que puede usar para juzgar si un paquete es seguro o no.<\/p>\n
AUR es una de las joyas de la corona de Arch Linux, que proporciona miles de paquetes de software adicionales. Pero, \u00bfes seguro usar este repositorio dirigido por el usuario o deber\u00eda evitarlo?<\/p>\n
\u00bfQu\u00e9 es el AUR?<\/h2>\n
El AUR (Arch User Repository) es un repositorio de software impulsado por la comunidad que proporciona m\u00e1s de 85 000 paquetes de software a los usuarios de Arch Linux. A diferencia de otros repositorios de Arch, como los repositorios core, extra y multilib, AUR no aloja paquetes listos para instalar. De hecho, no aloja archivos binarios ni software empaquetado en absoluto.<\/p>\n
El AUR aloja archivos de compilaci\u00f3n de paquetes, llamados PKGBUILD. Estos son scripts de shell que ejecuta Arch Las instrucciones de PKGBUILD descargan archivos de c\u00f3digo fuente y otros archivos necesarios para crear el archivo del paquete. El A riesgo de introducir alguna confusi\u00f3n, algunos paquetes AUR hacer<\/em> entregar binarios precompilados. Pero esos binarios no est\u00e1n alojados en AUR, est\u00e1n almacenados en otro lugar de Internet. La entrada AUR para esos paquetes solo contiene un archivo PKGBUILD que descarga el binario precompilado en su computadora.<\/p>\n AUR permite que cualquier persona cree un PKGBUILD para una pieza de software que le gustar\u00eda poner a disposici\u00f3n de otros usuarios de Arch. Estos pueden ser paquetes de c\u00f3digo abierto o cerrado, o incluso software comercial. Los paquetes AUR que obtienen suficientes votos de los usuarios se pueden promocionar a un repositorio de Arch normal llamado repositorio de la comunidad.<\/p>\n El problema con el AUR se vuelve evidente cuando lo reduce a lo b\u00e1sico. Es una colecci\u00f3n de scripts de usuarios aleatorios en Internet. Y les gustar\u00eda que los ejecutaras en tu computadora.<\/p>\n Para mitigar los riesgos, los scripts cargados son revisados \u200b\u200bpor voluntarios calificados y respetados, conocidos como usuarios de confianza. Los usuarios de confianza inspeccionan y prueban los PKGBUILDS, y eliminan los que contienen errores peligrosos o intenciones maliciosas.<\/p>\n RELACIONADO:<\/strong> C\u00f3mo actualizar Arch Linux<\/em><\/strong><\/p>\n Es una ocurrencia muy rara, pero a veces las cosas se escapan de la red, a pesar de la diligencia de los usuarios de confianza. En 2015, un script Steam de Valve Software borr\u00f3 su directorio de inicio si previamente hab\u00eda movido el directorio Steam a una nueva ubicaci\u00f3n.<\/p>\n M\u00e1s siniestro fue el incidente de 2005, cuando un nuevo mantenedor se hizo cargo de un paquete hu\u00e9rfano de AUR y a\u00f1adi\u00f3 deliberadamente un c\u00f3digo malicioso al archivo PKGBUILD. Estos ejemplos son antiguos y poco comunes, pero las mismas cosas podr\u00edan volver a suceder.<\/p>\n Por supuesto, si tiene la habilidad suficiente, puede revisar el contenido del archivo PKGBUILD usted mismo. Esta transparencia es uno de los puntos fuertes de AUR, pero requiere suficiente conocimiento de secuencias de comandos para beneficiarse de ella. Y eso solo cubre el archivo PKGBUILD en s\u00ed. Si obtiene una gran cantidad de c\u00f3digo fuente de la aplicaci\u00f3n, en teor\u00eda, eso tambi\u00e9n deber\u00eda verificarse.<\/p>\n Otros peligros en el uso de AUR est\u00e1n basados \u200b\u200ben la distribuci\u00f3n. No todas las distribuciones basadas en Arch son lo suficientemente parecidas a Arch para que AUR funcione sin problemas. El AUR asume que se est\u00e1 instalando en Arch Linux genuino, y en una versi\u00f3n actualizada y completamente parcheada. Manjaro, por ejemplo, no admite oficialmente AUR a pesar de que est\u00e1 basado en Arch.<\/p>\n Pero, dado que su distribuci\u00f3n es compatible con AUR, \u00bfqu\u00e9 puede hacer para asegurarse de que lo est\u00e1 utilizando de la manera m\u00e1s segura posible, ya sea que comprenda el c\u00f3digo fuente y los scripts de shell o no?<\/p>\n Incluso sin revisiones de c\u00f3digo, hay pasos que puede seguir para ayudarlo a decidir si puede confiar en un paquete AUR.<\/p>\n Hay una p\u00e1gina en AUR para cada paquete. La p\u00e1gina web del paquete describe el paquete, qu\u00e9 dependencias tiene, qu\u00e9 paquetes dependen de \u00e9l y otra informaci\u00f3n \u00fatil. Comience su investigaci\u00f3n yendo a AUR y buscando su paquete.<\/p>\n Los usuarios pueden votar por los paquetes, y tambi\u00e9n se otorga una puntuaci\u00f3n de popularidad a cada paquete. Cuantos m\u00e1s votos y mayor sea la popularidad, mejor. Significa que el paquete es bien conocido y ampliamente utilizado. En otras palabras, es un paquete de buena reputaci\u00f3n.<\/p>\n La reputaci\u00f3n del paquete es una buena indicaci\u00f3n de su confiabilidad. Cuantas m\u00e1s personas lo usen y voten por \u00e9l, m\u00e1s c\u00f3modo te sentir\u00e1s al usarlo.<\/p>\n En la secci\u00f3n \u00abDetalles del paquete\u00bb ver\u00e1s sus votos, puntuaci\u00f3n de popularidad y dos fechas. Una es cuando los paquetes se introdujeron por primera vez en AUR y la segunda es cuando el paquete se actualiz\u00f3 por \u00faltima vez.<\/p>\n La fecha de \u00ab\u00daltima actualizaci\u00f3n\u00bb le indicar\u00e1 si el paquete se mantiene activamente. Los paquetes que han estado inactivos durante mucho tiempo deben tratarse con precauci\u00f3n.<\/p>\n Tambi\u00e9n verifique la \u00abURL ascendente\u00bb y verifique que se dirija a una p\u00e1gina web o repositorio de c\u00f3digo v\u00e1lido para el paquete o proyecto. Si no es as\u00ed, algo anda mal.<\/p>\n Hay comentarios de los usuarios al pie de cada p\u00e1gina de AUR. Estos pueden extenderse a lo largo de muchas p\u00e1ginas. Vea lo que otros usuarios dicen sobre el paquete y qu\u00e9 tipo de preguntas hacen. Tambi\u00e9n vea qu\u00e9 soluciones se ofrecen a los problemas que se plantean. \u00bfHay alg\u00fan comentario reciente? \u00bfEste paquete todav\u00eda tiene una base de usuarios activa?<\/p>\n Si te registras en AUR y creas una cuenta gratuita podr\u00e1s dejar comentarios y hacer preguntas. Adem\u00e1s, use otros recursos como foros y subreddits para preguntar sobre el paquete.<\/p>\n Incluso si no entiende los scripts de shell, todav\u00eda hay un par de cosas que puede verificar.<\/p>\n Una forma com\u00fan de acceder a AUR es con una l\u00ednea de comando \u00abayudante de AUR\u00bb como Los buenos ayudantes de AUR le brindan la opci\u00f3n de inspeccionar el archivo PKGBUILD, deteniendo la instalaci\u00f3n si no desea continuar. En el proceso manual, busca el paquete en AUR y descarga el archivo PKGBUILD y lo inspecciona antes de usarlo. Si est\u00e1 feliz de continuar despu\u00e9s de haberlo revisado, ejecute Es una buena idea instalar al menos un paquete manualmente, para que conozca la mec\u00e1nica de lo que est\u00e1 haciendo el asistente de AUR en segundo plano. Usaremos el ayudante yay AUR como ejemplo.<\/p>\n El paquete se envi\u00f3 por primera vez en 2016 y se actualiz\u00f3 por \u00faltima vez en mayo de 2023. Al momento de escribir, esa es una actualizaci\u00f3n muy reciente. Tambi\u00e9n es notable que el remitente original, el mantenedor actual y la \u00faltima persona en empaquetar el software son todos la misma persona. Esa continuidad es una buena se\u00f1al.<\/p>\n Haga clic en el enlace URL \u00abGit Clone URL\u00bb en la secci\u00f3n \u00abDetalles del paquete\u00bb para copiarlo en el portapapeles.<\/p>\n En una ventana de terminal, escriba \u00abgit clone\u00bb, un espacio y luego presione Shift+Ctrl+V para pegar la URL en la l\u00ednea de comando. Presiona \u201cEnter\u201d para iniciar la descarga.<\/p>\n Cuando se complete la descarga, cambie al nuevo directorio \u00abyay\u00bb.<\/p>\n Veamos qu\u00e9 archivos tenemos.<\/p>\n Hay un solo archivo, el archivo PKGBUILD. A menudo hay uno o dos archivos auxiliares adicionales. Mire a trav\u00e9s de esos tambi\u00e9n. usaremos Un archivo PKGBUILD bien formado que sigue las convenciones crear\u00e1 variables para contener las URL que utiliza. Esto nos da una lista ordenada en la parte superior del archivo de las URL a las que har\u00e1 referencia PKGBUILD. En este caso, solo hay uno.<\/p>\n Podemos ver que apunta a una p\u00e1gina de GitHub para el La p\u00e1gina de GitHub es propiedad de un usuario con el mismo nombre que el mantenedor que figuraba en la p\u00e1gina de AUR para este paquete. Estas son dos buenas indicaciones de que este es un paquete seguro.<\/p>\n Pero continuaremos y miraremos un poco m\u00e1s profundo.<\/p>\n Utilizar el Si encuentra alguna ocurrencia, tr\u00e1tela como una se\u00f1al de alerta y no instale el paquete hasta que est\u00e9 seguro de que es benigno. \u00bfCu\u00e1l es la URL que Si puede obtener la confirmaci\u00f3n de una fuente confiable de que PKGBUILD es confiable y est\u00e1 escrito de una manera que no sigue las convenciones, a\u00fan puede optar por instalarlo.<\/p>\n Asimismo, no es necesario que un archivo PKGBUILD contenga el Puede realizar los pasos que hemos usado hasta ahora incluso si no puede leer los scripts de shell. Si conoce algunas secuencias de comandos de shell, puede revisar el c\u00f3digo real en PKGBUILD.<\/p>\n Las personas que escriben c\u00f3digo malicioso a menudo intentan ocultar sus intenciones ofusc\u00e1ndolo. Utilizan una sintaxis minimalista, concisa e impenetrable, por lo que es dif\u00edcil descifrar lo que intentan hacer. Si ve alguna l\u00ednea que use redirecci\u00f3n o llamada Copiar esas l\u00edneas y colocarlas en un analizador en l\u00ednea como explicashell.com las desempaquetar\u00e1 para que pueda ver lo que realmente hacen. Si se enfrenta a un desorden denso de corchetes, puntos y comas y s\u00edmbolos de uni\u00f3n, vale la pena usar un analizador en l\u00ednea para verificar que haya interpretado correctamente lo que la l\u00ednea est\u00e1 tratando de hacer. Pero, en general, el c\u00f3digo dif\u00edcil de leer es una se\u00f1al de advertencia.<\/p>\n Las compilaciones y construcciones de PKGBUILD tienen lugar en un Se trata de minisistemas de archivos aislados que permiten a los desarrolladores realizar procesos de sandbox limitando su acceso al resto del sistema de archivos de su computadora y reduciendo su acceso a otros comandos del sistema.<\/p>\n Si PKGBUILD est\u00e1 manipulando directamente su directorio de inicio, tr\u00e1telo como una bandera de advertencia. Aseg\u00farese de entender completamente lo que est\u00e1 haciendo antes de decidir ejecutarlo.<\/p>\n Con paquetes extremadamente populares, es muy probable que est\u00e9 seguro. Debido a la gran cantidad de usuarios, los problemas se detectan y se notifican m\u00e1s r\u00e1pidamente. Puede hacer su parte informando cualquier problema que encuentre y votando buenos paquetes para mejorar su reputaci\u00f3n.<\/p>\n Si encuentra que hay un problema con un paquete que hace que no quiera instalarlo, puede encontrarse en un aprieto porque necesitaba ese paquete. Una forma de avanzar es pedir en los foros sugerencias de otros paquetes que puedan satisfacer esa necesidad particular.<\/p>\n Linux generalmente tiene muchas formas de despellejar a cualquier gato.<\/p>\n RELACIONADO:<\/strong> C\u00f3mo instalar Arch Linux desde una GUI<\/em><\/strong><\/p>\n<\/div>\nmakepkg<\/code> herramienta. Cuando makepkg<\/code> se ejecuta, busca un archivo llamado \u00abPKGBUILD\u00bb. Si encuentra uno, lo abre y sigue las instrucciones que contiene para crear un archivo de paquete de software en su computadora. Si est\u00e1 familiarizado con la compilaci\u00f3n en la l\u00ednea de comando, un archivo PKGBUILD y makepkg<\/code> trabajar juntos de manera similar a un MAKEFILE y el make<\/code> utilidad.<\/p>\npacman<\/code> La herramienta se llama autom\u00e1ticamente para instalar el software desde el archivo del paquete.<\/p>\nLos peligros de usar el AUR<\/h2>\n
Seguridad de AUR: verifique los detalles del paquete y la reputaci\u00f3n<\/h2>\n
Encuentre su paquete en AUR<\/h3>\n
![\"La](\"\/pagespeed_static\/1.JiBnMqyl6S.gif\")
<\/p>\n\u00bfCu\u00e1l es su reputaci\u00f3n?<\/h3>\n
<\/p>\nVerifique las fechas de actividad<\/h3>\n
<\/p>\n\u00bfLa URL ascendente es una ubicaci\u00f3n v\u00e1lida?<\/h3>\n
<\/p>\nLea los comentarios del usuario<\/h3>\n
Reg\u00edstrate y Participa<\/h3>\n
Verifique el contenido de PKGBUILD y otros archivos<\/h2>\n
yay<\/code>pero tambi\u00e9n puede utilizar el AUR de forma pr\u00e1ctica y manual.<\/p>\nmakepkg<\/code> a mano.<\/p>\ngit clone https:\/\/aur.archlinux.org\/yay.git<\/pre>\n
<\/p>\ncd yay<\/pre>\n
<\/p>\nls<\/pre>\n
<\/p>\nless<\/code> para leer nuestro archivo \u00fanico.<\/p>\nless PKGBUILD<\/pre>\n
<\/p>\n\u00bfQu\u00e9 URL utiliza el archivo PKGBUILD?<\/h3>\n
<\/p>\nyay<\/code> proyecto.<\/p>\nBusque comandos de descarga<\/h3>\n
less<\/code> funci\u00f3n de b\u00fasqueda para buscar en el archivo los usos de wget<\/code> o curl<\/code>. Ambas herramientas se pueden utilizar para recuperar archivos remotos. Un PKGBUILD con buen comportamiento no deber\u00eda necesitar tal actividad.<\/p>\nwget<\/code> o curl<\/code> los comandos est\u00e1n haciendo referencia? \u00bfParecen leg\u00edtimos y relacionados con el paquete?<\/p>\nBusque rm, mv y otros comandos peligrosos<\/h3>\n
rm<\/code> o mv<\/code> comandos, ni deber\u00edan tener necesidad de hacer referencia a nada en el directorio \u00ab\/ dev\u00bb. Si el PKGBUILD llama directamente pacman<\/code>o menciones systemctl<\/code>, systemd<\/code>o cualquier otro componente vital del sistema, como grub<\/code>trate el archivo PKGBUILD como peligroso y no lo ejecute.<\/p>\nTenga cuidado con el c\u00f3digo ofuscado<\/h3>\n
sed<\/code> o awk<\/code> tr\u00e1telos como sospechosos.<\/p>\nTu casa debe ser tu castillo<\/h3>\n
chroot<\/code> ambiente.<\/p>\nPuedes ayudar a otros usuarios de AUR<\/h2>\n