>Могут, конечно. Люди могут ошибаться. Но! Я более чем уверен, что никто по злому умыслу это делать не будет. Если это даже и случится по ошибке или недосмотру, то "троян" будет достаточно скоро обнаружен и удален средствами штатного обновления дистрибутива. Никто посторонний не сможет "подложить" трояна в пакет, поскольку в современных дистрибутивах установочные пакеты как правило имеют цифровую подпись.Почему вы решили что самодостаточные пакеты не могут быть так же подписаны?
Кроме того обратите внимание на то что даже если мейнтейнер такого самодостаточного пакета соберёт его с трояном(не важно в своей программе или в зависимой библиотеке), то этот троян будет только в этом пакете который, на минутку, выполняется в сэндбоксе, в то время как если мейнтейнер libc решит завтра подложить вам трояна или бекдор какой, у вас вся система будет как одна большая дыра.
>Ну почему не верю - верю. Только вот доверять "левому" источнику пакетов не могу, поскольку не могу быть уверен в том, что в процесс упаковки программы в пакет не вмешался кто-то еще кроме "майнтейнера самодостаточной программы".
Левому? А как вы делили источники на левые и правые, мне казалось мы уже решили что репозиторий с самодостаточными макетами может иметь все те же механизмы обеспечения безопасности что и традиционные репозитории
>ну не захотел "майнтейнер самодостаточной программы" поправить в своей "самодостаточной программе" пять строчек и вместо этого упаковал древнющую дрявую libastral, которую уже никто никогда не обновит и не исправит
Точно так же мейнтейнер вашего пакета не захотел подправлять эти несколько строчек, и сегодня этого пакета вообще уже нет в репах, в то время как самодостаточный пакет вы поставили и видите что ага, в нём libastral уязвимой версии, надо бы не работать просто в этой программе с важными данными, а остальное не важно, ведь она, на минуточку, выполняется в сэндбоксе
> В одной системе ("Не проти ночі згадуючи") уже есть "библиотечный ад", давайте и в нормальных системах разведем, а то не солидно как-то...
Не солидно будет если реально из этого сделают то же что в той системе, но если сделать всё грамотно, то идея самодостаточных пакетов очень даже не плоха, и решает многие проблемы которые стоят перед мейнтейнерами дистрибутивов