パッケージマネージャーのリポジトリを理解するのに苦労していませんか?
私は現在、ターミナル(MacOS)で遊んでいて、それを最大限に活用することを学んでいます。 HomebrewがMacOSで非常に人気のある代替パッケージマネージャーであることを知っていたので、それを調べることにしました。
ソフトウェアをインストールしましたが、すべて問題なく使用できます。しかし、一般的に私が理解するのに苦労していることが2つあります。
一般的に、パッケージマネージャーがパッケージを取得する場所に頭を悩ませることはできませんか?例として、FirefoxをAPTまたはHB経由でダウンロードする場合、どこからパッケージを入手しますか?
apt-get install firefox
brew cask install firefox
MozillaのWebページにアクセスしてFirefoxをダウンロードすると、サーバーの1つにファイルがあるだけですが、上記の場合も同様ですか?そして、その場合、それは元の開発者サーバーですか、それともHBと同じように見えるgithubですか?
また、私がWebサイトからファイルをダウンロードするとき、私は一般的にMozillaが優れた担当者を持つ会社であり、彼らのファイルは安全であることを知っています。しかし、APTまたはHBを介して取得したファイルも安全であることを確認するにはどうすればよいですか?
PS。一致する必要があるSHAキーと関係があることを理解しています。
ソフトウェアのメンテナーは、ソフトウェアを特定の形式でパックし、すべてのパッケージマネージャーユーザーがアクセスできるように設計されたサーバーにアップロードします。
コンピューターからパッケージマネージャーを実行すると、サーバーに接続し、サーバーからコンピューターにパッケージをダウンロードしてインストールします。
自作、apt、pacman、dnf、AppStore、Google Playストア、MicrosoftWindowsアプリストア。それらはすべてこのように機能します。
APTまたはHB経由で取得したファイルも安全であることを確認するにはどうすればよいですか?
安全は明確に定義された概念ではありません。ファイルのバイトが信頼できる人によって作成され、他のハッカーによって変更されていないことを確認します。
パッケージマネージャーを信頼し、その構成ファイルが信頼できるサーバーに接続するため、ある種のデジタル署名またはHASHテクノロジにより、信頼できる人が作成したパッケージを確実に取得できます。
Macosにはlinuxのようなリポジトリがあり、セットアップが異なります。 .gitフォルダーは各リポジトリーに存在するため、それらの場所を見つけると、すべてのリポジトリーが得られます。
find /Users/username -name ".git" -print