und noch ein Hinweis

Hinweis: In dem Thema und noch ein Hinweis gibt es 11 Antworten auf 2 Seiten. Der letzte Beitrag () befindet sich auf der letzten Seite.
  • kurz noch ein kleiner Hinweis in die Runde warum ich es versuche zu vermeiden, auch wenn ich vielleicht die Begriffe hier wieder etwas durcheinander würfel, auf OBS home:Community Pakete von Community Membern zurückzugreifen, herunterzuladen und zu installieren, statt dessen lieber Pakete der offiziellen Releases verwende statt von 'home:*'


    5 Millionen Mal heruntergeladen: Bösartige Docker-Container schürfen Monero


    "Zehn Monate lang waren Docker-Images mit Hintertür über Docker Hub verfügbar, obwohl die Verantwortlichen längst über den Schadcode informiert waren."



    :?: Wer garantiert mir, dass so etwas nicht auch bei 'home:*' auftritt. (und ich bezieh mich jetzt nicht speziell nur auf miner)

    honi soit qui mal y pense :: lärnt L.i.n.u.x zu buchstabieren

    Für den Inhalt des Beitrages 122260 haftet ausdrücklich der jeweilige Autor: TuxSv748

  • Wer garantiert mir, dass so etwas nicht auch bei 'home:*' auftritt. (und ich bezieh mich jetzt nicht speziell nur auf miner)

    Keiner.
    Das würde aber schnell auffallen.


    Aber wer garantiert dir, das die Pakete, die du dir zusammenklaubst, nicht auch verseucht sind?????


    Wichtiger im OBS ist, wie werden die Pakete aktuell gehalten, wie sieht es aus mit den Abhängigkeiten usw......

    Für den Inhalt des Beitrages 122262 haftet ausdrücklich der jeweilige Autor: Sauerland

  • Es geht nicht um schnell auffallen.
    Es ist aufgefallen (ob schnell oder langsam / egal) es ist gemeldet worden, und es hat 10 Monate gendauert bis es entfernt wurde.


    Wer informierte in der Zwischenzeit die anderen Downloader dass der Container verseucht ist?
    Wer informiert evtl nach Abschluss die Downloader dass der verseucht war, die kümmern sich nachträglich evtl gar nicht mehr darum?


    Die wussten und wissen es evtl bis heute nicht.


    Mit schnell Auffallen allein ist es nicht getan.



    Deswegen versuch ich nicht zusammenzuklauben, sondern mich primär wenn es das File für mein Release nicht von offizieller Seite ( gelber Bereich im OBS ) gibt das File aus der gelben Sektion des neueren OS-Releases dem File von home:irgendwer ( roter Bereich Community ) vorzuziehen. Mit dem Nebeneffekt alle Abhängigkeiten auch vom neueren OS-Release nachziehen zu müssen.

    honi soit qui mal y pense :: lärnt L.i.n.u.x zu buchstabieren

    Für den Inhalt des Beitrages 122263 haftet ausdrücklich der jeweilige Autor: TuxSv748

  • Und es gibt dir wer Gewissheit das deine verwendeten Quellen nicht „verseucht“ sind, überprüfst du selbst alles vor dem Herunterladen/der Bearbeitung/der Installation?

    Für den Inhalt des Beitrages 122265 haftet ausdrücklich der jeweilige Autor: tomfa-ng

  • irgendwo hört das Überprüfen ja auch auf.
    Hatte einen Kollegen der hat grundsätzlich seine LinuxInstallation aus den Sourcen selbst gebaut, den hab ich auch gefragt, ob es sich dann auch die Sourcen ansieht.


    Es ist nur ein kleiner Teilaspekt, bin ja nicht paranoid und vermute grundsätzlich auch nichts dabei.
    Ein im Repo der Release bereitgestelltes Paket betrachte ich als häufiger in Verwendung, auf Grund höhere Downloadzahlen, und evtl besserer Testabdeckung durch automatisierte Tests - falls vorhanden / bzw. Installationen von Anwendern mit evtl. Feedback, auch dies ist u.U. für ein Paket aus home:irgendwer nicht gegeben.


    Ich denke nicht dass über die Downloadzahlen von home:irgendwer Buch geführt wird um einen Eindruck zu haben wie viele Anwender dies in Verwendung haben. Selbst dies hätte keine Aussagekraft.


    Es war bisher mein Vorgehen, .. Der Krug geht so lange zum Brunnen ... ich hab bisher damit keinen direkten Schiffbruch erllitten. Man muss sich die Pakete die noch mitinstalliert werden etwas ansehen und abschätzen ob damit was schiefgehen kann durch Überschneidungen/Mehrfachverwendung mit anderen Programmen, somit lässt sich die Gefahr etwas in Grenzen halten.
    .. falls der Krug denn mal zerbochen ist werd ich's überdenken

    honi soit qui mal y pense :: lärnt L.i.n.u.x zu buchstabieren

    Für den Inhalt des Beitrages 122266 haftet ausdrücklich der jeweilige Autor: TuxSv748

  • ( und ich hab auch schon Pakete aus der Community installiert, weil nirgend anders verfügbar, Stichwort: djmount )
    also keine generelle Ablehnung/Mistrauen meinerseits

    honi soit qui mal y pense :: lärnt L.i.n.u.x zu buchstabieren

    Für den Inhalt des Beitrages 122267 haftet ausdrücklich der jeweilige Autor: TuxSv748

  • Egal, wie verseucht alle offiziellen Repos der ganzen Welt sind:
    Kann dir völlig egal sein.


    [von Sauerland: entfernt]
    Alles andere kann man als versierter User handlen.

  • wie verseucht alle offiziellen Repos

    und wieder 100% das Gegenteil von dem getroffen was ich meinte.


    meine Annahme ist das mir das mit Offiziellen nicht passiert, und die Privaten evtl. einer lascheren Prüfung unterliegen - sinnlos - sorry


    ( Admin: ich denke den Thread kann man als Ganzes löschen, die dies betrifft haben es vernommen - ist nicht erhaltenswert für die Nachwelt )

    honi soit qui mal y pense :: lärnt L.i.n.u.x zu buchstabieren

    Für den Inhalt des Beitrages 122276 haftet ausdrücklich der jeweilige Autor: TuxSv748