重要的是要记住
任何人都可以注册PPA。你需要问自己的主要问题是你是否信任PPA的所有者。所需的信任级别取决于软件包以及您希望使用它做什么。如果我根据我关注的博客的推荐信任一个基于指示器的PPA,但如果我想要在我的桌面上升级X或在生产服务器上升级Ruby,我会想要了解更多关于PPA所有者的信息。
您应该查看Launchpad上的PPA所有者。他是团队维护者吗?所有者还参与其他项目吗?所有者是否参与软件的上游开发?所有者是Ubuntu开发人员吗?
请记住,当您将PPA添加到源中时,主要关注的不是安装单个软件包,而是您通过能够推送更新来为PPA提供对您计算机的根访问权限。
虽然它也可以反过来运作。所有者是否仍在积极提供安全更新?虽然Lucid中的foo 1.0可能有点旧,但至少它仍在接收安全更新。Joe Bob的PPA中的foo 1.2可能更近,但如果发现一个影响两个版本的安全漏洞,他会提供更新吗?检查他们的Lauchpad个人资料以确保他们至少是活跃的。
这里有一个可怕的故事。我正在调查一个PPA,可能会向您推荐用于在Lucid上获取Ruby 1.9.2。不幸的是,我遇到了一个看似受欢迎的PPA,由一个“开放”的团队运营。团队成员身份赋予了上传权利到团队的PPA。按照目前的情况,任何人都有可能加入该团队,并随时上传被篡改的软件版本到PPA中。
debian/changelog
条目,但感觉不太好。不管怎样,Launchpad 应该有一个 bug。我将在测试服务器上重现此问题并报告 bug。 - andrewsomething