Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsLinux-News der Woche: Schlankeres Ubuntu für SBC, Schadsoftware im AUR
Ein Einwand:
AUR muss man “aktiv” nutzen wollen. Noch mehr Hebel manuell umlegen geht nicht. Erst SRC manuell laden, base-devel installieren, makepkg ausführen.
Ist nicht was man versehentlich und unwissend nutzen kann. Wobei ich immer erstaunt war, wie viele base-devel nicht installieren und dann fragen warum die Dependencies nicht komplett sind. Nun ja, weil base-devel vom Anwender installiert werden muss (Buildtools und GCC).
Dakne für die News. Das AUR nutze ich zwar, aber die drei genannten Pakete nicht. Und bisher habe ich aus dem AUR auch die Pakete als Quelltext bekommen und selber kompiliert (also wie das yay und andere Helper so machen).
Ich habe eine GTX 660 in meinem Medien-Server. Spielen tue ich damit aber nicht. Wenn Vulkan 1.2 dann aber noch für was anderes (Encoding) genutzt werden könnte, würde ich es aber gerne mitnehmen.
Hatte mir auch mal kurz Arch Linux angeschaut, weil ich von Debian (wegen modernerer Hardware die nicht unterstützt wurde) weg musste. Bei der Gelegenheit wollte ich zu einer Rolling-Release Distro wechseln. Arch hatte mir auf den ersten Blick gefallen, als ich dann jedoch realisierte, dass da die ganzen Pakete und Applikationen von irgendwelchen dubiosen Leuten aus dem Netz erstellt werden und nicht von den Organisationen selber kommen war die Distro für mich gestorben. Also wirklich ein NO-GO. Der Vorfall hier bestätigt mich nun im Nachhinein zu Fedora gewechselt zu sein. Arch Linux ist ein Security Alptraum. Witzigerweise hat mich der junge Kollege damals, dem ich erzählte warum ich Arch Linux nicht vertraue für verrückt gehalten .
Heutzutage schreibt man keine Viren mehr. Das ist total uncool. Man wird Linuxpaket Ersteller, schreibt Browser Extensions oder stellt "Fake" Apps in App-Stores zur Verfügung und die Leute installieren sich den Kram freiwillig...
Der Vorfall hier bestätigt mich nun im Nachhinein zu Fedora gewechselt zu sein. Arch Linux ist ein Security Alptraum. Witzigerweise hat mich der junge Kollege damals, dem ich erzählte warum ich Arch Linux nicht vertraue für verrückt gehalten
dass da die ganzen Pakete und Applikationen von irgendwelchen dubiosen Leuten aus dem Netz erstellt werden und nicht von den Organisationen selber kommen war die Distro für mich gestorben.
Ich kann deinen Kollegen verstehen. Du stellst es so dar, als bestünde die gesamte Distro aus dem Arch User Repositories, die ein völlig optionales Extra sind. So ähnlich, als wenn du dir eine rpm direkt installierst oder irgendein weiteres Repo anhängst.
Die offiziellen Repositories sind nicht von "irgendwelchen dubiosen Leuten aus dem Netz erstellt" sondern von den Maintainern der Distribution. Wenn du denen nicht vertraust, weil sie dir den initialen Keyring, Root Zertifikate, und die gesamte Basis stellen, solltest du tatsächlich einen Bogen um jede Distro machen, über die du das denkst.
Securitytechnisch ist Arch genauso flott wie andere Distros auch. Kommt mal wieder eine CVE um die Ecke, waren eigentlich binnen 24h Pakete für alle großen Distros in ihren Repos. Nur, dass Rolling Release den netten Vorteil hat, dass der "Support" nie endet und man keine Release Upgrades fahren muss um weiterhin Updates zu bekommen.
Arch hatte mir auf den ersten Blick gefallen, als ich dann jedoch realisierte, dass da die ganzen Pakete und Applikationen von irgendwelchen dubiosen Leuten aus dem Netz erstellt werden und nicht von den Organisationen selber kommen war die Distro für mich gestorben.
Irgendwie scheinst du da was falsch aufgefasst zu haben? Die Pakete von Arch stammen nicht aus dem AUR. Das AUR ist nicht das Paketrepository von Arch, sondern Arch hat ganz normale Repositorires, die vom Arch-Team betreut werden. So wie jede andere Distribution auch.
Das AUR ist lediglich eine optional nutzbare Sammlung an Paketierungs-Scripten, um auch nicht in den Repos verfügbare Software als pacman-kompatibles Paket zu bauen und dann über Pacman zu installieren.
Auf meinem Gaming-PC mit Arch Linux sind bspw. von den installierten 1334 Pakete gerade mal ganze 2 aus dem AUR. Und die beiden sind "Bruno" und "Mediathekview", wobei das eine ein Entwickler-Tool für REST-APIs ist (also für die wenigsten Nutzer relevant) und das andere auch in den offiziellen Repos wäre (da aber in Version 14.0 statt 14.3 und ohne Integration von "XDG Desktop Portal").
Damit ist gemeint, dass CUDA mit Nvidia-Grafikkarte mit einem Prozessor läuft, der RISC-V kann. Damit ist nicht gemeint, dass CUDA auf dem RISC-V-Prozessor statt auf der Grafikkarte läuft. (So verstehe ich das zumindest)
Inwiefern muss man da aufwachen? Ist ja nicht so, dass sich das AUR unbemerkt zu einer nicht vertrauenswürden Quelle für Software/Pakete entwickelt hat. Da gab es keine Entwicklung, sondern das AUR war schon immer als "Nutzung auf eigene Verantwortung" deklariert und auch noch nie dazu gedacht, von einer Distribution default ins Paketmanagent eingebunden zu sein.
Es geht darum in welchen Distris Arch als Basis genutzt wird und damit auch AUR einher geht.
mibbio schrieb:
Was die Nutzer (und auch die Distributionen, die das einfach default einbinden) einfach bewusst sein sollten, es ist und war nie ein offizielles Repository. Es ist nur ein Angebot von Arch, um Software außerhalb der offiziellen Repos nicht am Paketmanager vorbei installieren zu müssen.
Ähnlich zu PPA oder AUR ist zum Beispiel auch openSUSE mit den z.B. home Repos einzelner User im Open Build Service oder (dem oft empfohlenen) extern gehostetem packman Repo für u.a. proprietären Codecs. Auch hier wird erwartet, dass User sich der Konsequenzen bewusst sind und es wenig bis null Support bei Problemen gibt.
Hat natürlich wenig mit der Funktion von zypper (dem Paketmanager) zu tun.
Dann ist das Problem aber auch nicht das AUR an sich, sondern dass die jeweilige Distribution den Nutzer nicht über das AUR aufklärt, obwohl es default verwendet wird und den Nutzer damit ins offene Messer laufen lässt.
Arch Linux selbst nutzt weder default das AUR mit, noch weist es den Nutzer überhaupt auf die Möglichkeit hin. Da kommt man also gar nicht mit dem AUR in Berührung, ohne sich vorher aktiv darüber zu informieren. Denn einmal muss der Nutzer überhaupt erstmal wissen, dass es das AUR gibt und dann auch noch nachlesen, wie man es verwendet. Sofern er nicht blind irgendwelche Anleitung oder Videos im Netz folgt, stolpert er auch über die entsprechenden Disclaimer im Arch Wiki oder auf der Webseite des AUR.
Wenn jetzt eine Distribution dem Nutzer die Entscheidung abnimmt und gleichzeitig nicht über das AUR und dessen Riskien aufklärt, sollte man schlicht die Distribution im Speziellen kritisieren und Linux-Neulingen von eben dieser Distribution abraten.
.
