A menudo es necesario utilizar repositorios de software de Linux no oficiales (por ejemplo, códecs de medios, controladores de tarjetas inalámbricas, etc.) y, por lo tanto, la necesidad de decidir si confiar en ellos.
Estoy tratando de averiguar cuánto tiempo debería dedicar a descubrir otro repositorio que considero usar. ¿Qué tan común es que aparezcan repositorios de Linux maliciosos? ¿Ha ocurrido alguna vez?
Por lo general, lo que está comprometido es el espejo. Por lo tanto, el repositorio original no es malicioso, pero el espejo en el que se aloja es.
Es por eso que es mejor descargar con el administrador de paquetes para que haya una comprobación de firma de gpg. Si realiza la descarga manualmente, a veces también puede verificar las sumas de comprobación.
Con gpg o checksums comprobando que está a salvo de espejos comprometidos. Lo más peligroso es descargar desde un espejo sin verificar.