Если бы ещё пакеты, там свалка полуфабрикатов.

Чтоб засунуть что угодно в официальный репозиторий, нужно ещё проверку полиси пройти, а в AUR можно сразу из под коня лопатой забрасывать и никто ничего не спросит. ;)

Нет, по логике того персонажа виновата труба.

А окно никто не разбивал, лол. Его вообще не было. Как и стен с дверьми.

По умолчанию - с реестра npm, но можно и любой другой задать. А что?

Ты лучше объясни, по какой логике в этой ситуации виноват npm, а не aur. А то тот персонаж уже нам не ответит.

Ведь можно было и не возится с npm/bun, а просто через wget/curl подтянуть любой исполняемый файл (в т.ч. скрипт на любом языке). Но виноват npm, да.

И из этого ты делаешь вывод, что:

> с AUR все в порядке

Я все правильно понял?

А если у мейнтенера активный отдых, детокс и по горам лазит, где каждый лишний грамм втягость, а потом в тибетских горных монастырях медитирует наконец-то вдали от цивилизации?

Да. Но какая разница, если попытка не пытка.
Я бы понял, если бы ради такой цели надо было год трудится.
А тут раз и готово.

> Вредоносное ПО осуществляло сканирование и отправку на внешний сервер ключей и учётных данных VPN, Docker, Podman и SSH, а также извлечённых из браузера конфиденциальных данных, истории команд в shell, ключей криптовалютных кошельков, токенов доступа к Slack, Microsoft Teams, Discord, GitHub, NPM и Vault

Вот этим чего бы стырить. А вдруг повезёт.

> Зафиксирована ещё одна атака на AUR, на этот раз вместо подстановки вредоносного ПО в несколько десятков пакетов, оставшихся без сопровождающего, был добавлен вывод нецензурного сообщения на русском языке с оскорблением пользователей и предложением поменять дистрибутив или перестать использовать AUR.

Вот этим похулиганить. Может и перед одноклассниками похвастаться. И всё такое.

Раз можно и это несложно, то и делают.

Поэтому я с AUR переехал на OBS, потому что труба шатал периодически заглядывать в пакетбилды каждый раз. Лучше уж свою хомячью репу содержать, пусть и дублирующую местами чужой труд.
Зато ты знаешь всегда, что это твои пакеты, а не васянов каких-то пакетбилды.

Не знаю почему вас минусанули, но совет действительно дельный. Сам недавно понял, что это таки недурная альтернатива, если нужен именно роллинг-дистр.

Вот где обделённая вниманием жемчужина.

Ну хз, на Fedora KDE с подключённой копрорепой с ядром CachyOS (копрорепы кстати прям от разрабов каши) и Steam стоит и bluetooth-геймпад работает и CoreCtrl есть. А KDE так вообще порой обновляется раньше, чем в Арчах этих ваших. Никто не взывал и брат жив.

Дырявость это не отменяет, если даже об этом написать.

И такие решения принимают разработчики, а не анонимы.

Если разработчики начинают менять правила и всё такое, значит ситуация не устраивает.

А не так что это не баг, а фича.

AUR по сути свалка и проходной двор. Его многие фичи порождают многие продолбы, он архитектурно такой.

Да, по идее каждый может залезть в пакетбилд и поворошить палочкой на предмет того, что он на самом деле делает. Но, человеческая ленивая природа такова, что ну один раз ты это сделаешь, ну два, ну когда-нибудь ты всё равно булки расслабишь.

Ну или же нужно постоянно бдить и периодически тысячеглазить, даже в те пакетбилды, в которые ты уже заглядывал, потому как может случится так, что его хозяин уже поменялся, такие дела.

Проблема в том, что за лёгкость доступа всяким васянам с улицы ты неизбежно расплачиваешься вот таким вот.

Тут либо жрать с общей кучи, куда все сваливают непойми что, либо наконец отказаться от неё и уходить в инфраструктуру где паранойи побольше "из коробки".

Было бы что подмачивать. У арча и арчеводов репутация всегда была так себе. А сам AUR ещё с рождения имел репутацию помойки. И за годы ничего не изменилось, Арч как был так и остался кривым дистром для пионеров, который ломается при каждом объявлении, а aur все та же помойка.

стоять возле подьездов и ждать, чтобы ктото открыл дверь, или даже обмазывать ручки дверей этих дверей.

сравните с тем самым джин таном, который месяцами втирался в доверие, дети балуются с js