¿Es peligrosa la acción de agregar repositorios no oficiales (de terceros) a Linux por sí mismo?
Por ejemplo, en los entornos de Debian, uno podría hacer:
add-apt-repository ppa:some_non_official_repository/nor_name
No me refiero a la descarga real de software desde un repositorio no oficial dado, sino a la acción de simplemente agregar el repositorio a un sistema.
La adición del repositorio en sí no es peligrosa.
Pero probablemente hagas un apt update y apt upgrade (o similar) algunas veces después de haber agregado el repositorio. El apt upgrade causará que cualquier software que ya existe en el sistema se actualice con una versión más nueva, si es posible, sin importar si esta versión más reciente proviene del mismo repositorio que la versión anterior.
Esto significa que si el nuevo repositorio que acaba de agregar reclama tener versiones más recientes de algún software que ya tiene en su sistema, entonces la versión más reciente del repositorio recientemente agregado se usará para reemplazar la versión de software existente. De esta manera, se podrían agregar a su sistema puertas traseras o simplemente software con vulnerabilidades explotables , y esto es definitivamente peligroso.
Tenga en cuenta que el contenido de un repositorio puede cambiar después de haberlo agregado como de confianza. Esto significa que incluso si el repositorio no contiene actualmente el software que tiene en su sistema, ya podría contener dicho software en el futuro. Por lo tanto, no debe basar su confianza en el contenido actual del repositorio, sino decidir si confía en todos los que pueden realizar cambios en el repositorio.
Por sí mismo, no, el hecho de agregar un nuevo repositorio también es un administrador del repositorio no particularmente peligroso ... y se puede argumentar que agregar un repositorio de una fuente confiable y seguir con una actualización / instalación después de ese repositorio Se ha confiado ni siquiera es peligroso. El problema inherente es agregar todos y cada uno de los repos que dicen que ofrecen las versiones más nuevas de las cosas también en su sistema. No tengo miedo de admitir que más de una vez he puesto a prueba mi sistema en un arrebato de frustración al querer la última versión de un software en particular y he sido demasiado perezoso o con demasiados recursos para compilar demasiado si es de los autores git / svn / bazaar / lo que sea que utilicen para la gestión de versiones.
Lea otras preguntas en las etiquetas linux package-manager