Du coup, tu propose quoi comme modèle? Car à part créer un dépôt par projet hors distribution, je ne vois pas comment lutter contre ça.
Et même dans ce cas, on se retrouverait vite submergés par le typosquatting et autres joyeusetés du genre.
Le dépôt centralisé aide les attaquants, car il leur fournit un canal rapide pour corrompre plein de dépendances d'un coup. En revanche, il facilite aussi la correction : on peut tout auditer d'un bloc, signaler l'ensemble des paquets vulnérables et potentiellement lancer des rollbacks globaux assez facilement.
[^] # Re: Qui aurait pu prédire que...
Posté par Toto . En réponse au lien Au moins 1579 paquets sur l’AUR distribuaient des malwares. Évalué à 1 (+0/-0).
Du coup, tu propose quoi comme modèle? Car à part créer un dépôt par projet hors distribution, je ne vois pas comment lutter contre ça.
Et même dans ce cas, on se retrouverait vite submergés par le typosquatting et autres joyeusetés du genre.
Le dépôt centralisé aide les attaquants, car il leur fournit un canal rapide pour corrompre plein de dépendances d'un coup. En revanche, il facilite aussi la correction : on peut tout auditer d'un bloc, signaler l'ensemble des paquets vulnérables et potentiellement lancer des rollbacks globaux assez facilement.