Ubuntu-fr

katian

confiance sur l'installation de logiciels (deb & Dépôts officiels)

Bonjour,

Je me pose une question, les dépôts officiels seront toujours plus "sûrs" qu'un .deb ?

en ce qui concerne le .deb cela relève de la confiance que l'on place dans l'éditeur du .deb ?

bonne journée à tou(te)s !

Dernière modification par katian (Le 25/07/2019, à 12:23)

michel_04

Re : confiance sur l'installation de logiciels (deb & Dépôts officiels)

Bonjour.

Oui, un dépôt est plus sûr qu'un paquet récupéré on ne sais où.
Sauf... si un serveur subit une attaque et que l'intrus injecte des paquets vérolés en lieu et place des deb vérifiés.
Mais ça, ça n'arrive jamais en 2019 ( ).

A+

Dernière modification par michel_04 (Le 25/07/2019, à 12:31)

---

:D
De la bonne manière de poser les questions - Trouver de l'aide grâce au Groupe des Parrains Linux - Le Pacte des Gnous
PCs sous Debian Stable & Debian Sid.

rogn...

Re : confiance sur l'installation de logiciels (deb & Dépôts officiels)

Salut.
En ce moment je suis en train de revoir ma politique d'installation quand je vois les dérives que prend Ubuntu avec Snap, j'en profite pour remettre en question mes certitudes.
Avant Snap, je faisais une totale confiance aux dépôts .deb d'Ubuntu
Maintenant, je suis en train de peser le pour et le contre d'un deb ou archive téléchargé depuis le site officiel du dev et/ou de l'éditeur au lieu de celui de la distro.

katian

Re : confiance sur l'installation de logiciels (deb & Dépôts officiels)

tout comme moi rogn

rogn...

Re : confiance sur l'installation de logiciels (deb & Dépôts officiels)

Pour Skype : Interface web et flatpak. Pas de snap ni de .deb.
Pour Youtube-dl, Eclipse et Firefox : je m'en remets maintenant aux sites officiels et plus aux dépôts Ubuntu.
Prochain à questionnement : VLC, est-ce que je continuerai avec les .deb d'Ubuntu ?
Pour chromium : j'hésite à le fiche en l'air pour le .deb de Chrome et son installation proposée sur le sire de Google.

Roschan

Re : confiance sur l'installation de logiciels (deb & Dépôts officiels)

Avant Snap, je faisais une totale confiance aux dépôts .deb d'Ubuntu

Je ne vois pas vraiment le rapport mais bon

katian

Re : confiance sur l'installation de logiciels (deb & Dépôts officiels)

Je ne vois pas vraiment le rapport mais bon

avant snap, j'avais une confiance plutôt naive
une fois snap arrivé j'ai cherché à comprendre et au passage a en savoir plus sur les .deb
ceci pourrait expliquer cela

Roschan

Re : confiance sur l'installation de logiciels (deb & Dépôts officiels)

Je ne vois toujours pas le rapport...

Les snaps, paquets (sans code source fourni) faits par les développeurs (potentiellement malicieux).
Les deb des dépôts, paquets fournis (avec leur source) par Ubuntu.

Chercher à comprendre et à en savoir plus, ça peut mener à une perte de confiance envers les snaps, ou au pire dans les intentions de Canonical, mais pas à un rejet des paquets des dépôts...

Dernière modification par Roschan (Le 25/07/2019, à 15:49)

rogn...

Re : confiance sur l'installation de logiciels (deb & Dépôts officiels)

Avant Snap, je faisais une totale confiance aux dépôts .deb d'Ubuntu

Je ne vois pas vraiment le rapport mais bon

Si Ubuntu en arrive à déprécier la gestion des debs pour la remplacer par une gestion de snaps pas encore au point, je vais imiter leur dépréciation des dépôts "officiels" en allant directement chercher les exécutables, les .deb ou les flatpaks qui eux sont plus aboutis sur les sites officiels.

nam1962

Re : confiance sur l'installation de logiciels (deb & Dépôts officiels)

Je me donne une hiérarchie de confiance, liée entre autre à l'information disponible, mon expérience sur la fiabilité autres, etc (il est clair que pour un .deb péché dans la nature, l'info disponible est très réduite)
Dépôts officiels
PPA des éditeurs (genre Libreoffice, Firefox...)
Flatpak, Snap et .deb d'éditeurs connus (exemples : Calibre, Skype)
Flatpak autres
Snap autres
PPA autres
.deb autres & AppImages

---

[ Modéré ]

Roschan

Re : confiance sur l'installation de logiciels (deb & Dépôts officiels)

Ils ne déprécient pas du tout les deb ??? Ils déprécient un deb en particulier, celui de Chromium (une application tierce), pour faciliter son backport vers les vieilles LTS car sa récenteté est critique pour la sécurité des utilisateurs.

Vous faites mine d'avoir fait des recherches approfondies, mais tout ce qui ressort au bout de 2 petites questions ce sont des généralités grossières  et des incompréhensions manifestes.

Et surtout, des raisonnements dramatiquement fallacieux : les paquets deb sont chers à maintenir pour eux donc ils préfèrent développer snap quitte à l'expérimenter sur les utilisateurs, ça remet en question leurs motivations en tant qu'entreprise cloud/IoT, mais ça ne signifie :
- ni que les dépôts ne sont pas dignes de confiance
- ni que les PPA ou autres deb isolés ne vont pas déstabiliser le système

katian

Re : confiance sur l'installation de logiciels (deb & Dépôts officiels)

en savoir plus sur les .deb

je voulais parler des .deb hors dépots

rogn...

Re : confiance sur l'installation de logiciels (deb & Dépôts officiels)

Ils ne déprécient pas du tout les deb ??? Ils déprécient un deb en particulier, celui de Chromium (une application tierce), pour faciliter son backport vers les vieilles LTS car sa récenteté est critique pour la sécurité des utilisateurs.

Vous faites mine d'avoir fait des recherches approfondies, mais tout ce qui ressort au bout de 2 petites questions ce sont des généralités grossières  et des incompréhensions manifestes.

Chromium : plus en deb.
Eclipse : n'existe plus dans les dépôts à partir de la 19.04
Youtube-dl loin d'être à jour dans les dépôts
Firefox en français : ce n'est pas gagné.
Cela fait quand même un paquet de gros clients, non ?

Roschan

Re : confiance sur l'installation de logiciels (deb & Dépôts officiels)

Firefox est parfaitement en français ??

mais Eclipse c'est un exemple encore mieux : son développement bizarre et ses dépendances vers les JRE le rendaient difficile à maintenir à  jour en l'absence de mainteneur, il a d'ailleurs disparu de Debian pour la même raison. Question à 1000€ : si il ne pouvait pas être porté normalement vers les dépôts officiels, qu'est-ce qui te fait penser qu'un deb isolé sera davantage à jour, stable et fiable, notamment dans la gestion des dépendances ?

Moi jamais de la vie je ne salirai mon installation avec un deb isolé d'Eclipse, ni avec un PPA. Leur site web propose un tar.gz avec des fichiers un peu en vrac dont je devine qu'il faut se démerder pour les mettre soi-même dans /opt, quelque chose me dit qu'ils n'ont pas de deb isolé du tout, et qu'une telle méthode de distribution est une autoroute vers le n'importe quoi

Dernière modification par Roschan (Le 25/07/2019, à 16:31)

rogn...

Re : confiance sur l'installation de logiciels (deb & Dépôts officiels)

Roschan :
Il y a confusion. Je ne suis pas adepte du PPA ou du .deb isolé, mais je pèse le pour et le contre pour y en avoir besoin un jour ou l'autre.
- Concernant Firefox : j'en ai honnêtement plein les bottes d'avoir à chaque fois à attendre que le paquet de langues FR suive. La solution du DL directement depuis le site de mozilla me convient et je ne sais pas si je vais revenir au paquet.
- Concernant Eclipse : évidemment cet IDE est conçu pour tourner avec un JRE et build avec plusieurs versions de JREs et de JDKs. Je m'en remettrai dans le futur à leur procédure d'installation qu'ils proposent sur leur site. Le résultat d'une disparition du système de paquets est que maintenant il est proposé en snap bien que ce snap a besoin lui aussi qu'un JRE ou un JDK soit installé. C'est parfaitement ridicule.