Megjelent a Yay 13.0, amely megkönnyíti az AUR-csomagok vizsgálatát a közelmúltbeli biztonsági incidens után

10/10
A kiadás arra a korábbi ellátási lánc elleni biztonsági incidensre reagál, amely az AUR tárolót érintette. A PKGBUILD-időbélyeg, a Lua-konfiguráció és a hookok mind a felhasználói kontrollt növelik, anélkül hogy hamis biztonságérzetet keltenének. A frissítés fokozottan ajánlott!

Megjelent a Yay 13.0, az Arch Linux AUR-helperének legújabb főverzió-frissítése, amely az AUR tárolót érintő biztonsági incidenst követően további kontroll- és automatizálási lehetőségekkel bővül. Nagyon fontos, hogy a frissítés nem módosítja az AUR infrastruktúráját, valamint nem nyújt abszolút biztonsági garanciákat. Célja inkább az, hogy a felhasználók jobban átláthassák, szűrhessék és automatizálhassák az AUR-csomagok ellenőrzését még a telepítés vagy frissítés előtt.

Megjelent a Yay 13.0, amely megkönnyíti az AUR-csomagok vizsgálatát a közelmúltbeli biztonsági incidens után

A kiadás egyik legfontosabb újdonsága, hogy a keresési találatoknál és a frissítések listázásakor már látható a PKGBUILD fájlok utolsó módosítási ideje. A Yay ezentúl a keresési találatokban, a frissítési listákban és a verziókezelő menükben is jelzi, mennyi idő telt el a PKGBUILD legutóbbi módosítása óta, például órákban vagy napokban megadva. A fejlesztők ugyanakkor külön kiemelik, hogy egy friss módosítás önmagában nem utal rendellenességre, ahogy a régebben szerkesztett csomagleírás sem jelent biztonsági garanciát. Az adat inkább támpontot ad a kézi ellenőrzéshez, mert segíthet felmérni a karbantartói aktivitást és a forrásváltozások mintázatát.

Az új verzió másik kiemelt újdonsága a Lua nyelvű konfiguráció támogatása. A program mostantól be tudja olvasni az init.lua fájlt a $XDG_CONFIG_HOME/yay/init.lua útvonalról, ami alapértelmezetten a ~/.config/yay/init.lua helyen található. A meglévő config.json formátum továbbra is működik, de a Lua-beállítások felülírják azt, a parancssori kapcsolók pedig minden mást felülírnak.

A frissítés három új hookot is bevezet, amelyek a telepítési folyamat különböző pontjain futnak le. Az UpgradeSelect a yay -Syu futtatásakor, a frissítendő csomagok meghatározása után, de a kizárási menü előtt aktiválódik, és lehetővé teszi, hogy a felhasználó automatikusan kizárjon a frissítésből olyan csomagokat, amelyeknek nemrég módosult a PKGBUILD-je. Az AURPreInstall a PKGBUILD-tárolók letöltése után, de a tisztítási, diff-, szerkesztési és fordítási lépések előtt fut, így jól használható a PKGBUILD tartalmának vizsgálatára, szintaktikai ellenőrzésekre vagy metaadatok validálására. Az AURPostDownload pedig a makepkg –verifysource lefutása után lép működésbe, amikor a hookok már hozzáférnek mind a PKGBUILD-tárolóhoz, mind a letöltött forrásfájlokhoz.

A kiadás további metaadatokat is elérhetővé tesz a hookok számára, köztük a karbantartók nevét, a beküldési dátumokat és más AUR-specifikus információkat. A keresés-szűrő és a telepítés utáni hookok támogatásával a felhasználók összetett, többszempontú ellenőrzéseket állíthatnak össze a frissen módosított csomagokra, a karbantartóváltásokra, az újonnan beküldött projektekre, a gyanús forrás-URL-ekre vagy tetszőleges metaadatok kombinációjára.

A Yay karbantartója hangsúlyozta, hogy az automatizálás célja nem a „látszatbiztonság” megteremtése, hanem az emberi kódellenőrzés támogatása. Az automatikus ellenőrzések segítenek, de nem helyettesítik az érdemi PKGBUILD-elemzést és a függőségi lánc átvizsgálását.

A Yay 13.0 már elérhető az AUR-ban az Arch Linux felhasználói számára. A kiadási megjegyzések a projekt GitHub-oldalán, a bővebb információk pedig a fejlesztő blogján olvashatók.