ما المقصود بـ AUR في Arch Linux ، وهل يجب عليك استخدامه؟

نشرت: 2023-06-23
شعار Arch Linux على موقع ArchWiki.
جوردان جلور / كيف تو جيك
يحتوي مستودع Arch Linux AUR على برامج مدفوعة بالمجتمع وآمنة للاستخدام إذا اتخذت بعض الاحتياطات البسيطة. حتى إذا كنت لا تفهم البرمجة النصية للصدفة ، فهناك مؤشرات يمكنك استخدامها للحكم على ما إذا كانت الحزمة آمنة أم لا.

AUR هي واحدة من الجواهر في تاج Arch Linux ، حيث توفر الآلاف من حزم البرامج الإضافية. ولكن هل هذا المستودع الذي يحركه المستخدم آمن للاستخدام ، أم يجب عليك تجنبه؟

جدول المحتويات

ما هو AUR؟
مخاطر استخدام AUR
سلامة AUR: تحقق من تفاصيل الحزمة وسمعتها
تحقق من محتويات PKGBUILD والملفات الأخرى
يمكنك مساعدة مستخدمي AUR الآخرين

ما هو AUR؟

AUR (مستودع مستخدم Arch) هو مستودع برامج يحركه المجتمع يوفر ما يزيد عن 85000 حزمة برامج لمستخدمي Arch Linux. على عكس مستودعات Arch الأخرى مثل المستودعات الأساسية والإضافية والمتعددة ، فإن AUR لا يستضيف حزم جاهزة للتثبيت. في الواقع ، لا يستضيف ملفات ثنائية أو برامج مجمعة على الإطلاق.

تقوم حزمة مضيفي AUR بإنشاء ملفات تسمى PKGBUILDs. هذه هي نصوص شل التي يتم تشغيلها بواسطة أداة Arch makepkg . عند تشغيل makepkg ، فإنه يبحث عن ملف يسمى "PKGBUILD". إذا عثر على واحد ، فإنه يفتحه ويتبع الإرشادات الموجودة بداخله لإنشاء أرشيف لحزمة البرامج على جهاز الكمبيوتر الخاص بك. إذا كنت معتادًا على التحويل البرمجي في سطر الأوامر ، فإن ملف PKGBUILD و makepkg يعملان معًا بطريقة مماثلة لملف MAKEFILE وأداة make .

تقوم تعليمات PKGBUILD بتنزيل ملفات التعليمات البرمجية المصدر والملفات الأخرى المطلوبة لإنشاء أرشيف الحزمة. يتم استدعاء أداة pacman تلقائيًا لتثبيت البرنامج من أرشيف الحزمة.

مع خطر حدوث بعض الالتباس ، تقدم بعض حزم AUR ثنائيات مجمعة مسبقًا. لكن هذه الثنائيات ليست مستضافة في AUR ، فهي مخزنة في مكان آخر على الإنترنت. يحتوي إدخال AUR لهذه الحزم فقط على ملف PKGBUILD الذي يقوم بتنزيل الملف الثنائي المترجم مسبقًا على جهاز الكمبيوتر الخاص بك.

Arch Linux مقابل Ubuntu: أيهما يجب أن تستخدم؟
ذات الصلة Arch Linux مقابل Ubuntu: أيهما يجب أن تستخدمه؟

يسمح AUR لأي شخص بإنشاء PKGBUILD لبرنامج يرغب في إتاحته لمستخدمي Arch الآخرين. يمكن أن تكون هذه حزم مفتوحة أو مغلقة المصدر ، أو حتى برامج تجارية. يمكن ترقية حزم AUR التي تحصل على أصوات مستخدم كافية إلى مستودع Arch منتظم يسمى مستودع المجتمع.

تصبح مشكلة AUR واضحة عندما تغليها وصولاً إلى الأساسيات. إنها مجموعة من البرامج النصية من مستخدمين عشوائيين عبر الإنترنت. ويريدون منك تشغيلها على جهاز الكمبيوتر الخاص بك.

للتخفيف من المخاطر ، تتم مراجعة البرامج النصية التي تم تحميلها بواسطة متطوعين مؤهلين ومحترمين ، يُعرفون باسم المستخدمين الموثوق بهم. يقوم المستخدمون الموثوق بهم بفحص واختبار PKGBUILDS ، وإزالة أي أخطاء خطيرة أو نوايا خبيثة.

ذات صلة: كيفية تحديث Arch Linux

مخاطر استخدام AUR

إنه أمر نادر الحدوث ، ولكن في بعض الأحيان تتسلل الأشياء عبر الشبكة ، على الرغم من اجتهاد المستخدمين الموثوق بهم. مرة أخرى في عام 2015 ، قام برنامج Valve Software Steam بمسح الدليل الرئيسي الخاص بك إذا كنت قد قمت مسبقًا بنقل دليل Steam إلى موقع جديد.

كان الحادث الأكثر خطورة هو الحادث الذي وقع في عام 2005 ، عندما تم الاستيلاء على حزمة AUR اليتيمة من قبل مشرف جديد أضاف عمداً تعليمات برمجية ضارة إلى ملف PKGBUILD. هذه الأمثلة قديمة وغير شائعة ، ولكن يمكن أن تحدث نفس الأشياء مرة أخرى.

بالطبع ، إذا كنت ماهرًا بما فيه الكفاية ، يمكنك مراجعة محتويات ملف PKGBUILD بنفسك. هذه الشفافية هي إحدى نقاط القوة في AUR ، لكنها تتطلب معرفة كافية بالبرمجة للاستفادة منها. وهذا لا يغطي سوى ملف PKGBUILD نفسه. إذا كان يسحب كتلة من التعليمات البرمجية المصدر للتطبيق ، فمن الناحية النظرية يجب التحقق من ذلك أيضًا.

الأخطار الأخرى في استخدام AUR تعتمد على التوزيع. ليست كل التوزيعات المستندة إلى Arch تشبه القوس بشكل كافٍ لكي تعمل AUR بلا عيب. يفترض AUR أنه يتم تثبيته على نظام Arch Linux الأصلي ، وإصدار مصحح بالكامل ومحدث ، في ذلك الوقت. Manjaro ، على سبيل المثال ، لا يدعم AUR رسميًا على الرغم من أنه قائم على القوس.

ولكن ، نظرًا لأن التوزيع الخاص بك يدعم AUR ، فما الذي يمكنك فعله للتأكد من أنك تستخدمه بأمان قدر الإمكان ، سواء أكنت تفهم كود المصدر ونصوص الصدفة أم لا؟

سلامة AUR: تحقق من تفاصيل الحزمة وسمعتها

حتى بدون مراجعات الكود ، هناك خطوات يمكنك اتخاذها لمساعدتك في تحديد ما إذا كان يمكنك الوثوق بحزمة AUR.

ابحث عن حزمتك على AUR

هناك صفحة في AUR لكل حزمة. تصف صفحة الويب الخاصة بالحزمة الحزمة ، والاعتماديات التي تحتوي عليها ، والحزم التي تعتمد عليها ، وغيرها من المعلومات المفيدة. ابدأ التحقيق بالذهاب إلى AUR والبحث عن الحزمة الخاصة بك.

شريط البحث على موقع AUR

ما هي سمعتها؟

يمكن التصويت على الحزم من قبل المستخدمين ، وهناك درجة شعبية تعطى لكل حزمة أيضًا. كلما زاد عدد الأصوات وكلما زادت الشعبية ، كان ذلك أفضل. هذا يعني أن العبوة معروفة وشائعة الاستخدام. بمعنى آخر ، إنها حزمة ذات سمعة طيبة.

تفاصيل حزمة AUR الخاصة بحزم yay ، مع إبراز أرقام الأصوات والشعبية

تعتبر سمعة الحزمة مؤشرًا جيدًا على مصداقيتها. كلما زاد عدد الأشخاص الذين يستخدمونه وصوتوا له ، كلما شعرت براحة أكبر في استخدامه.

تحقق من تواريخ النشاط

في قسم "تفاصيل الحزمة" سترى تصويتاتها ونقاط الشعبية وتاريخين. أحدهما عندما تم تقديم الحزم لأول مرة في AUR والثاني عند آخر تحديث للحزمة.

تفاصيل حزمة AUR لحزم yay ، مع إبراز التواريخ الأولى المقدمة وآخر تحديث

سيخبرك تاريخ "آخر تحديث" ما إذا كان يتم صيانة الحزمة بشكل نشط. يجب التعامل مع الحزم التي ظلت كامنة لفترة طويلة بحذر.

هو عنوان URL المنبع موقع صالح؟

تحقق أيضًا من "عنوان URL الرئيسي" وتحقق من أنه ينتقل إلى صفحة ويب صالحة أو مستودع رمز للحزمة أو المشروع. إذا لم يحدث ذلك ، فهناك خطأ ما.

تفاصيل حزمة AUR لحزم yay ، مع تمييز URL المنبع

اقرأ تعليقات المستخدم

توجد تعليقات مستخدم في أسفل كل صفحة AUR. يمكن أن تمتد هذه على عدة صفحات. تعرف على ما يقوله المستخدمون الآخرون عن الحزمة ، ونوع الأسئلة التي يطرحونها. راجع أيضًا الحلول التي يتم تقديمها للمشكلات التي يتم طرحها. هل هناك أي تعليقات حديثة؟ هل لا تزال هذه الحزمة لديها قاعدة مستخدمين نشطة؟

التسجيل والمشاركة

إذا قمت بالتسجيل في AUR وأنشأت حسابًا مجانيًا ، فستتمكن من ترك التعليقات وطرح الأسئلة. استخدم أيضًا موارد أخرى مثل المنتديات و subreddits للسؤال عن الحزمة.

حتى إذا كنت لا تفهم نصوص شل ، فلا يزال هناك بعض الأشياء التي يمكنك التحقق منها.

تحقق من محتويات PKGBUILD والملفات الأخرى

من الطرق الشائعة للوصول إلى AUR استخدام سطر أوامر "مساعد AUR" مثل yay ، ولكن يمكنك أيضًا استخدام AUR بطريقة يدوية عملية.

يمنحك مساعدو AUR الجيدين خيار فحص ملف PKGBUILD ، وإيقاف التثبيت إذا كنت لا تريد المتابعة. في العملية اليدوية ، تقوم بالبحث عن الحزمة على AUR وتنزيل ملف PKGBUILD وفحصها قبل استخدامها. إذا كنت سعيدًا بالمتابعة بعد مراجعته ، فيمكنك تشغيل makepkg يدويًا.

من الجيد تثبيت حزمة واحدة على الأقل يدويًا ، حتى تعرف آليات ما يفعله مساعد AUR في الخلفية. سنستخدم مساعد yay AUR كمثال.

تم تقديم الحزمة لأول مرة في عام 2016 وتم تحديثها آخر مرة في مايو 2023. في وقت كتابة هذا التقرير ، كان هذا تحديثًا حديثًا للغاية. وتجدر الإشارة أيضًا إلى أن المُرسل الأصلي والمشرف الحالي وآخر شخص قام بحزم البرنامج ، كلهم ​​نفس الشخص. هذه الاستمرارية هي علامة جيدة.

انقر على رابط عنوان URL "Git Clone URL" في قسم "تفاصيل الحزمة" لنسخه إلى الحافظة.

في نافذة طرفية ، اكتب "git clone" ، مسافة ، ثم اضغط على Shift + Ctrl + V للصق عنوان URL في سطر الأوامر. اضغط على "أدخل" لبدء التنزيل.

 git clone https://aur.archlinux.org/yay.git 

استنساخ ملف yay PKGBUILD من مستودع git الخاص به

عند اكتمال التنزيل ، قم بالتغيير إلى دليل "yay" الجديد.

 cd yay 

تغيير المخرج إلى مجلد yay.

دعونا نرى ما هي الملفات التي لدينا.

 ls 

سرد الملفات المسترجعة مع ls

يوجد ملف واحد ، ملف PKGBUILD. غالبًا ما يكون هناك ملف مساعد إضافي واحد أو ملفان. انظر من خلال هؤلاء أيضًا. سنستخدم less لقراءة ملفنا الفردي.

 أقل PKGBUILD 

بدء عارض الملفات الأقل لفتح ملف yay PKGBUILD

ما عناوين URL التي يستخدمها ملف PKGBUILD؟

سيُنشئ ملف PKGBUILD جيد التكوين والذي يتبع الاصطلاحات متغيرات للاحتفاظ بعناوين URL التي يستخدمها. يمنحنا هذا قائمة مرتبة أعلى ملف عناوين URL التي سيشير إليها PKGBUILD. في هذه الحالة ، هناك واحد فقط.

فحص ملف yay PKGBUILD باستخدام عارض الملفات الأقل

يمكننا أن نرى أنه يشير إلى صفحة GitHub لمشروع yay .

صفحة GitHub مملوكة لمستخدم يحمل نفس اسم المشرف الذي تم إدراجه في صفحة AUR لهذه الحزمة. هذان مؤشران جيدان على أن هذه حزمة آمنة.

لكننا سنستمر وننظر بشكل أعمق قليلاً.

ابحث عن أوامر التنزيل

استخدم ميزة البحث less للبحث في الملف عن استخدامات wget أو curl . يمكن استخدام كلتا الأداتين لاسترداد الملفات البعيدة. لا ينبغي أن يكون لدى PKGBUILD حسن التصرف أي حاجة لمثل هذا النشاط.

إذا وجدت أي تكرارات ، تعامل معها كعلم أحمر ولا تقم بتثبيت الحزمة حتى تتأكد من أنها حميدة. ما هو عنوان URL الذي تشير إليه أوامر wget أو curl ؟ هل تبدو شرعية ومرتبطة بالحزمة؟

إذا كان بإمكانك الحصول على تأكيد من مصدر موثوق بأن PKGBUILD جدير بالثقة ، وأنه مكتوب بطريقة لا تتبع الاصطلاحات ، فلا يزال بإمكانك اختيار تثبيته.

ابحث عن أوامر rm و mv والأوامر الخطرة الأخرى

وبالمثل ، ليست هناك حاجة لملف PKGBUILD لاحتواء أوامر rm أو mv ، ولا ينبغي أن يكونوا بحاجة إلى الإشارة إلى أي شيء في دليل "/ dev". إذا اتصل PKGBUILD مباشرة بـ pacman ، أو ذكر systemctl أو systemd أو أي مكون نظام حيوي آخر مثل grub ، تعامل مع ملف PKGBUILD على أنه خطير ولا تقم بتشغيله.

يمكنك تنفيذ الخطوات التي استخدمناها حتى الآن حتى لو لم تتمكن من قراءة البرامج النصية الخاصة بالصدفة. إذا كنت تعرف بعض البرمجة النصية للقذيفة ، فيمكنك مراجعة الكود الفعلي في PKGBUILD.

كن حذرًا من التعليمات البرمجية المبهمة

غالبًا ما يحاول الأشخاص الذين يكتبون تعليمات برمجية ضارة إخفاء نواياها عن طريق تشويشها. يستخدمون بنية بسيطة ومختصرة وغير قابلة للاختراق ، لذلك من الصعب فك تشفير ما يحاولون القيام به. إذا رأيت أي خطوط تستخدم إعادة التوجيه أو استدعاء sed أو awk ، تعامل معها على أنها مريبة.

سيؤدي نسخ هذه السطور وإسقاطها في محلل عبر الإنترنت مثل موقع شارحيل إلى فك حزمها حتى تتمكن من رؤية ما تفعله بالفعل. إذا كنت تواجه فوضى كثيفة من الأقواس والفواصل المنقوطة وعلامات العطف ، فمن المفيد استخدام محلل عبر الإنترنت للتحقق من أنك فسرت بشكل صحيح ما يحاول السطر القيام به. ولكن بشكل عام ، من الصعب قراءة التعليمات البرمجية هي علامة تحذير.

يجب أن يكون منزلك / منزلك قلعتك

تتم عمليات تجميع وبناء PKGBUILD في بيئة chroot .

هذه أنظمة ملفات صغيرة معزولة تتيح للمطورين عمليات وضع الحماية من خلال تقييد وصولهم إلى بقية نظام ملفات الكمبيوتر الخاص بك ، وتقليل وصولهم إلى أوامر النظام الأخرى.

إذا كان PKGBUILD يتلاعب مباشرة بدليل منزلك ، تعامل مع ذلك كعلامة تحذير. تأكد من أنك تفهم تمامًا ما يفعله قبل أن تقرر تشغيله.

يمكنك مساعدة مستخدمي AUR الآخرين

مع الحزم الشائعة للغاية ، من المحتمل جدًا أن تكون آمنًا. نظرًا للعدد الكبير من المستخدمين ، يتم رصد المشكلات بشكل أسرع والإبلاغ عنها بسرعة أكبر. يمكنك القيام بدورك من خلال الإبلاغ عن أي مشكلات تجدها ، وزيادة التصويت على حزم جيدة لتحسين سمعتها.

إذا وجدت أن هناك مشكلة في حزمة تجعلك لا ترغب في تثبيتها ، يمكنك أن تجد نفسك في مأزق لأنك بحاجة إلى تلك الحزمة. إحدى الطرق للمضي قدمًا هي أن تطلب في المنتديات اقتراحات لحزم أخرى يمكن أن تلبي تلك الحاجة الخاصة.

عادة ما يكون لدى لينكس العديد من الطرق لجلد أي قطة معينة.

ذات صلة: كيفية تثبيت Arch Linux من واجهة المستخدم الرسومية