После череды случаев распространения вредоносного ПО в репозитории Arch User Repository (AUR) одна из крупнейших систем доставки пакетов — Chaotic-AUR — вводит новые защитные меры. Теперь обновления некоторых пакетов будут проходить ручную проверку, прежде чем появиться в общем доступе.
Chaotic-AUR — это отдельное хранилище с уже готовыми к установке программами из AUR. Чтобы минимизировать риск загрузки вредоносного софта, команда Chaotic-AUR запускает специальную систему доверия: формируется список проверенных людей, ответственных за сборку пакетов и не замеченных в распространении вредоносных файлов.
Согласно новым правилам, перед публикацией обновления система будет автоматически сверять имена сопровождающих с этим списком. Если всё совпадает и обновление собирали только доверенные люди, программа сразу становится доступной для установки.
Если же среди сопровождающих окажется кто-то вне “списка доверия”, обновление временно замораживают для проверки. Однако, если речь идет только об изменении версии или контрольных сумм, такие апдейты будут автоматически пропускаться. Всё остальное придётся проверять вручную перед публикацией в Chaotic-AUR.
Безопасность теперь значительно выше, но пока не вполне ясно, насколько это может сказаться на удобстве для самих пользователей Chaotic-AUR. Разработчики честно признаются:
Пока сложно сказать, сможем ли мы быстро и регулярно вручную проверять все подозрительные обновления пакетов, но это определённо шаг в нужном направлении. Возможно, скоро у нас появятся новые участники, желающие помочь в проверках через pull request 😇 (если интересно — обязательно свяжитесь с командой!)
Главное преимущество Chaotic-AUR — вы можете забыть о сборке программ из AUR вручную. Всё просто: устанавливаете нужное приложение в пару кликов с помощью pacman, не возитесь с PKGBUILD и не используете yay.
Конструкция самого AUR отличается от классических репозиториев Arch Linux (core, extra, multilib): сюда любой может добавить свой PKGBUILD-скрипт и опубликовать пакет. Это ускоряет появление свежих программ, но и увеличивает опасность — возрастает риск нарваться на поддельные или вредоносные файлы. Случаи заражения участились: к примеру, в июле 2025 года в некоторых модифицированных версиях Firefox нашли вредоносный CHAOS RAT, а чуть позже похожее было обнаружено и в пакете Google Chrome.
Я сам регулярно пользуюсь Chaotic-AUR и рад, что команда так серьёзно относится к безопасности. Хотя, признаюсь, хотелось бы узнать подробнее, по какому принципу людей вносят в список доверенных сопровождающих и кто следит за их репутацией. Волнует и вопрос скорости: насколько быстро будут проходить проверки сомнительных обновлений — не придётся ли надолго ждать?
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка — это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!
Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru
