В-общем, всё как обычно. Одним — приключения и компенсация, другим — скучная стабильность.
[spoiler]Тем не менее, хочется разобраться с вопросом о безопасности установки и обновления свободных программ. Поэтому я обратился за консультацией к экспертам.
Релиз-менеджер компании РОСА Александр Казанцев рассказал, что в системе РОСА тщательно тестируются только те пакеты, которые предназначены для репозитория Main, а Contrib проверяется довольно поверхностно. Тем не менее, все обновления так или иначе идут на сборочную и разработчики обязательно увидят, если где-то что-то не так.
Разумеется, пресловутого человеческого фактора исключать нельзя. Поэтому стопроцентной гарантии нет.
Технический директор компании "ПингВин Софтвер" Вячеслав Калошин утверждает, что чисто теоретически подобная ошибка может быть в любой системе и при любом пакетном менеджере. Но на практике вероятность этого довольно мала.
Дело в том, что для составления пакетов уже существует масса готовых шаблонов, использование которых исключает какие-то неприятные для пользователя последствия. Если программе не требуется какие-то серьёзные изменения на уровне системных файлов и её разработчик не злоупотребляет самовыражением, то опасности нет.
Что касается проверки каждого пакета самим пользователем, то это вряд ли реалистично, поскольку некоторые большие программы устроены слишком сложно. Вячеслав привёл в пример Libre.Office, во внутреннем устройстве которого пользователю непросто разобраться.
Однако, как раз такие большие и востребованные программы довольно тщательно проверяются составителем дистрибутива, поэтому их установка не может принести вред системе. Мелкие же утилиты, особенно взятые из неофициальных источников, проверяются значительно проще.
Отсюда практические выводы для людей с прокачанной паранойей.
Во-первых, следует узнать у составителей дистрибутива какие репозитории контролируются обязательно, а какие — по остаточному принципу. Программы из последних следует использовать только если они действительно нужны.
Во-вторых, угроза может быть только в скриптах типа PRE-INSTALL и POST_INSTALL. При установке программы из неконтролируемого составителями дистрибутива источника следует распаковать пакет и убедиться, что таких скриптов там нет. А если есть, то их проверять отдельно.
Потому что Android — это не настольная ОС, как и Ubuntu Touch?