Wiem, że deweloperzy arch i zaufani użytkownicy nie weryfikują tych repozytoriów ( zgodnie z wiki ), ale w większości przypadków uważam, że gotowe pakiety są o wiele wygodniejsze. Wiki zawiera listę wielu takich repozytoriów i chciałem wiedzieć, z których z nich korzystasz i dlaczego?
Wydaje się interesujące. Spróbowałbym tego, gdybym miał trochę czasu.
Znajdz czas!
To jest jeden z powodów, dla których przestałem używać Archa. Skoro developerom się nie che, to mnie się też nie chce Archa. Korzystanie z AUR i innych repo opiera się na zaufaniu. Zaufaniu, że ktoś Ci czegoś nie podrzuci lub nie spierniczy roboty. Dla mnie system musi być stabilny, żebym nie musiał się zastanawiać czy po instalacji jakiegoś pakietu nie wywali mi systemu w kosmos, bo ktoś dał ciała.
Drugi powód porzucenia Archa to kompilacja. Skoro z AUR i tak muszę kompilować, to wolę kompilować kod na Gentoo. Nie dość, że paczki są dostarczane w repo przez developerów, to kompilacja jest lepiej zautomatyzowana i szybsza.
Arch był fajny w czasach, gdy mało kto potrafił go zainstalować.
A korzystanie z repo w innych distrach to niby na czym się opiera? Na traktatach międzynarodowych? Też ktoś musi te paczki przygotować i umieścić na serwerze, a ty musisz mu zaufać, że ci czegoś nie schrzani. Niezależnie od distro i formatu paczek, ogólna zasada działania repozytoriów jest uniwersalna. Jak nie ufasz pakietom z repo, to używaj Windowsa
Mylisz trochę pojęcia. Dystrybucje mają swoich opiekunów, którzy odpowiadają za to co jest w repozytorium, a także odpowiadają swoją reputacją. Do tego w wielu dystrybucjach ktoś pilnuje tego co leci do repo, w niektórych paczki są podpisywane i weryfikowane przy odświeżaniu listy paczek, portów itp. W Gentoo masz dodatkową weryfikację opartą na GPG, w CentOS to samo. Jeśli ktoś włamie się na serwer z paczkami, musi jeszcze podmienić klucze na serwerze kluczy. W przypadku AUR i PPA nie ma takiej kontroli. Tu może wpaść dowolny soft i wszystko opiera się na zaufaniu. Do tego nad takim Gentoo czuwa Gentoo Foundation, nad CentOS Red Hat i nie są to organizacje, którym nie można ufać. Tak naprawdę Overlaye również używasz na własne ryzyko.
Do AUR stosunkowo łatwo jest wrzucić potencjalnego syfa - tu akurat masz rację i historia zna takie przypadki. Ale też samo AUR posiada mechanizmy, które w pewnym stopniu ułatwiają uniknięcie ewentualnych kłopotów. Pod warunkiem, że się potrafi z tych mechanizmów korzystać. Zresztą nawet na ArchWiki AUR jest opisywane jako narzędzie dla najbardziej zaawansowanych użytkowników i generalnie nie zaleca się korzystania z niego.