Вплив на безпеку інших репостів

Основне питання:

У який момент я можу довіряти зовнішнім неофіційним репостам? Чи є наслідки безпеки для сліпого додавання репортажів сторонніх робочих станцій? Однак мене дуже підозрюють , що я включаю неофіційні репости.

Передумови та мій конкретний випадок:

Я хотів би встановити Juce . Як я розумію, це автономна утиліта для розміщення VST (віртуальні інструменти, що використовуються у виробництві музики). Я виявив, що, схоже, є його джерелом на github, і спробував скласти це, закинувши VM. Однак після отримання помилок при встановленні (до якого я можу відкрити квиток тут або на github пізніше), мені було цікаво дізнатися, чи хтось упакував його для Ubuntu.

Є кілька проблем:

• Будь-яке репо за замовчуванням може замінити будь-який пакет . Ви можете закріпити репо, щоб дозволити лише певні пакети, але це не допоможе проти цього, оскільки ...
• Ці пакети можуть записувати файли будь-де . Їм доведеться не перезаписувати жодні наявні файли, але є багато місць, де ви можете приховати шкідливий файл, який не повинен згадувати ...
• Пакети можуть запускати що завгодно як root на встановлення та видалення.

Так що, якщо ви не можете довіряти контролеру сховища (або довіряєте, що вони перевіряють код, що надходить у репо), вам не слід використовувати це репо. Зловмисний пакет закінчується грою.