¿Cómo verificar si un paquete de Ppa ha sido manipulado?

Quiero usar un paquete reciente de un PPA. ¿Cómo me aseguro de que el mantenedor de PPA no haya agregado ningún código malicioso en la versión provista allí?

Respuesta aceptada:

1. Instala los devscripts paquete.
2. Vaya a la página de PPA y busque los archivos del paquete fuente asociados con el paquete que le interesa. Busque el que termina en .dsc .
3. Ejecute el comando dget url_of_dsc_file . Esto descargará y descomprimirá el código fuente utilizado para compilar el paquete en un directorio. Cambie el nombre de este directorio a ppa .
4. Obtenga el código fuente original para comparar el PPA. Este podría ser el tarball upstream original del sitio web del proyecto que corresponde a la versión que está utilizando, o quizás la versión oficial de Ubuntu más reciente del paquete (puede encontrar un enlace a este último .dsc de https://launchpad.net/ubuntu/+source/source_package_name ). Descargue y descomprima esto, luego cambie el nombre de este directorio a upstream , usando dget para descargar desde un .dsc si es necesario.
5. Ahora compare el upstream y ppa directorios para ver si se han introducido cambios maliciosos en ppa que no estaban presentes en upstream . Podría usar meld para esto, que es un visor de diferencias gráficas. apt-get install meld , luego ejecute meld upstream ppa . Le mostrará qué archivos son nuevos, modificados o eliminados, y puede hacer doble clic en un archivo para ver los cambios detallados en un formato fácil de revisar.

Dado que los PPA se crean a partir de la fuente en la infraestructura de Canonical, puede confiar en que el binario que ha instalado desde el PPA coincide con la fuente que revisa como se indicó anteriormente, siempre que confíe en Canonical. Esto debería ser aceptable dado que confía en Canonical para construir Ubuntu en primer lugar.