BR-Linux.org

A nova versão do Yay, utilitário de apoio a usuários do repositório AUR, chega na esteira do recente incidente de segurança com esse repositório, e traz recursos para ajudar a mitigar situações similares.

O Yay oferece ferramentas adicionais para inspecionar, filtrar e automatizar o processo de revisão antes de instalar ou atualizar pacotes, e as novidades mais interessantes da versão 13.0 são o suporte a configurar seu funcionamento usando um script na linguagem brasileira Lua, tanto na inicialização, quanto em reação a uma série de eventos, por meio de hooks (que já existiam, mas agora podem chamar extensões em Lua).

Com relação ao recente AURpocalipse, o yay passa a exibir de forma bastante visível quanto tempo faz que um PKGBUILD foi atualizado, partindo da hipótese de que pacotes com mais tempo de existência tem mais chances de terem sido validados pela comunidade (o que não é uma regra geral, e basear-se nisso não é garantia de segurança).

Os desenvolvedores alertam contra o teatro da segurança: “verificações de metadados podem ajudar, mas devem complementar, e não substituir, a revisão do PKGBUILD. Isso não significa que não devamos fazer nada contra as ameaças que conhecemos ou que não devamos facilitar as revisões”.

Ainda assim, o exemplo que o anúncio oficial traz é um exemplo de um script em Lua que pode ser acionado automaticamente a cada instalação de pacotes, e que exclui da seleção pacotes que tenham sido atualizados nos últimos 3 dias…

Referência: After Recent AUR Security Scare, Yay 13.0 Adds New Review and Automation Features