Chromium Stable PPA(ここにあります:ppa:chromium-daily / stable)は、Chromiumチーム(https://launchpad.net/~chromium-team)によって管理されています。これは「Google」のChromium開発者だと思いますか?もしそうなら、私はこのPPAが非常に安全で信頼できると思います。
しかし、メンテナーの身元を確認するために私がすべき/できるべき特定の手順または調査方法はありますか?私が理解している(または少なくとも読んだ)と、誰でも「Chromiumチーム」PPAを作成できます。安全とセキュリティのために、PPAメンテナ、特にGoogleやMozillaのような「ビッグネーム」メンテナの身元を確認する方法を学びたいと思います。
回答:
Launchpadの「Chromiumチーム」はUbuntu開発者であり、Google開発者ではありません(GoogleでChromiumに取り組んでいる開発者を除く)。これは、チームのメンバーシップを見るとわかります。
上流のメンテナがチームでアクティブかどうかを判断する方法は、名前(または電子メールアドレス)を認識しているかどうかを確認することです。Ubuntu開発者がそれぞれのアップストリームで作業するMozillaやChromeのような大規模プロジェクトの場合、一般的に言えば私はそれらを信頼しています。
たとえば、Firefox PPAを実行するチームは、ディストリビューションでFirefoxを維持するチームと同じであり、Chromium PPAを維持するチームは、ディストリビューションでChromiumを維持するチームと同じです。
PPAがどの程度「信頼できる」かを判断する方法は実際にはありません(そのため、ほとんどの人は通常、デフォルトでそれらを信頼しないことを推奨します)。現在のところ、アップストリームによって信頼できると明示されている(XBMCがそのリンクでPPAを推奨する方法を参照)か、チームのメンバーを認識していない限り、PPAがどのくらい「公式」であるかを知る実際の方法はありません。オープンソースでは、すべてがオープントラストで行われるため、行動に基づいて人々が稼ぐものです。たとえば、私はMozillaで働いている誰かが私のブラウザを書くことを信頼しており、Ubuntu開発者である誰かがそれを適切にパッケージ化することを信頼しています。
個別のPPAは別の問題です。PPAが何も壊さないという保証はありませんが、すべてのPPAが自動的に不良になるわけではありません。クリスはこの回答でPPAのセキュリティについてこれについて少し話します: