Güvenilir derken şunu kastediyorum. Ubuntu veya Fedora gibi daha kurumsal arkasında büyük ekipler olan dağıtımlar bana daha güvenli geliyor. En azından build süreci paketler ve güncellemeler daha fazla denetimden geçiyormuş gibi hissediyorum. Ama diğer dağıtımlarda insanlar bu güveni neye göre kuruyor onu tam anlayamadım. Mesela bu işin gerçekten bir denetimi var mı varsa kim denetliyor. Açık kaynak olması tek başına bana yeterli gelmiyor çünkü çoğumuz o kodları inceleyebilecek seviyede değiliz. Özellikle CachyOS gibi custom kernel veya ekstra patch kullanan dağıtımlarda yapılan değişiklikleri kim kontrol ediyor. Bağımsız bir denetim mekanizması var mı yoksa tamamen geliştiricilere güvenerek mi ilerliyor bu iş. Bu tarafı merak ediyorum.
Arch Linux için cevap vereyim: PKGBUILD mantığı var. Bir paket güncellendiği zaman kaynak kodda ne değişti ise onu görürsünüz; bu yönüyle şeffaftır. Ayrıca 'tekrarlanabilir derlemeler' (reproducible builds) sistemi mevcut. Bir paketi kendi bilgisayarınızda derlediğiniz zaman, resmi depodaki derleme ile birebir aynısı olmasına çalışılıyor; bu da sunucuya sızma ihtimaline karşı bir önlem sağlıyor. Ayrıca paket bakımcısı olmak için de ayrı şartlar var.
Anladım mantıklı aslında. PKGBUILD ve reproducible builds işi şeffaf yapıyor bu doğru. Ama pratikte çoğu kullanıcı PKGBUILD incelemiyor ya da paketi kendisi derlemiyor. Yani yine iş bir noktada maintainer’lara güvenmeye geliyor gibi. Bu sistem teoride sağlam ama günlük kullanımda ne kadar uygulanıyor orası kafamı karıştırıyor.
Incelemediklerini nereden çıkardınız?
github.com
İnceleyenler yok demedim aslında. Ama çoğu kullanıcının bunu düzenli yaptığına pek inanmıyorum. Bu tarz araçlar da zaten PKGBUILD incelemenin yerine geçmiyor sadece yardımcı oluyor. Yani sistem şeffaf ama pratikte yine büyük ölçüde maintainer ve az sayıdaki bilinçli kullanıcıya güveniliyor gibi geliyor bana.Incelemediklerini nereden çıkardınız?
GitHub - Sohimaster/traur: trust scoring for AUR packages written in Rust
trust scoring for AUR packages written in Rust. Contribute to Sohimaster/traur development by creating an account on GitHub.
Bu dediğiniz durum AUR için evet, doğru; hatta AUR'da zararlı yazılımlar da vardı ve sonradan kaldırılmıştı. Şahsen şu an da olduklarını düşünüyorum. Genel olarak ben de AUR kullanmamaya özen gösteriyor, daha çok Flatpak kullanmaya çalışıyorum. AUR üzerinden paket indirirken de kaynak URL ve PKGBUILD incelemesi yapıyorum.
AUR tarafında risk olduğu zaten net, dikkatli kullanmak gerekiyor. Flatpak tercih etmeniz de aslında mantıklı bir yaklaşım. Benim kafamı kurcalayan da tam olarak buydu, yani sistem şeffaf ama pratikte herkes aynı dikkat seviyesinde değil. O yüzden daha oturmuş repo ve dağıtımlara yönelmek daha güvenli geliyor bana.
Topluluk açısından bakıldığı zaman Arch Linux en oturmuş sistemdir; Arch kullanıcısı da, diğer kullanıcılara oranla, daha dikkatli bence.
