Comment puis-je enquêter / confirmer l'identité d'un responsable de PPA (par exemple, l'équipe Chromium)?
Le Chromium Stable PPA (comme ici: ppa: chrome-daily/stable) est maintenu par Chromium Team (https://launchpad.net/~chromium-team). Je suppose que ce sont les développeurs Chromium de "Google"? Si c'est le cas, je suppose que cet APP est très sûr et digne de confiance.
Mais y a-t-il une procédure ou une méthode d'enquête spécifique que je devrais/peux faire pour confirmer l'identité du responsable? Si je comprends bien (ou du moins l'ai lu), n'importe qui peut créer un PPA "Chromium Team". Pour des raisons de sécurité, j'aimerais apprendre à confirmer l'identité des responsables de PPA, en particulier les responsables de "grands noms" comme Google ou Mozilla.
La "Chromium Team" dans Launchpad sont des développeurs Ubuntu, pas des développeurs Google (sauf un, qui travaille sur Chromium chez Google). Vous pouvez le voir en regardant la composition de l'équipe:
La façon dont vous détermineriez si les mainteneurs en amont sont actifs dans une équipe est de voir si vous reconnaissez des noms (ou des adresses e-mail). Pour les grands projets comme Mozilla et Chrome où les développeurs Ubuntu travaillent avec leur amont respectif en général, je leur fais confiance.
Par exemple, l'équipe qui exécute le Firefox PPA est la même équipe qui gère Firefox dans la distribution, et l'équipe qui gère le Chromium PPA est également la même équipe qui maintient Chromium dans la distribution.
Il n'y a vraiment aucun moyen de déterminer le degré de "fiabilité" d'un AAE (c'est pourquoi la plupart des gens recommandent généralement de ne pas leur faire confiance par défaut). Actuellement, il n'existe aucun moyen réel de savoir à quel point un AAE est "officiel", sauf s'il est explicitement mentionné par un en amont comme digne de confiance (voir comment XBMC recommande un APP dans ce lien) ou si vous reconnaissez les personnes dans une équipe. En Open Source puisque tout se fait dans la confiance ouverte est quelque chose qui est gagné par les gens en fonction de leur comportement. Par exemple, je fais confiance à quelqu'un qui travaille chez Mozilla pour écrire mon navigateur et je fais confiance à quelqu'un qui est un développeur Ubuntu pour l'empaqueter correctement car les deux organisations ont un modèle d'examen par les pairs.
Les AAE individuels sont une autre affaire, il n'y a aucune garantie qu'ils ne briseront rien, mais cela ne signifie pas que chacun est automatiquement mauvais. Chris en parle un peu sur la sécurité PPA dans cette réponse: