PPA. Apa Itu? Seberapa Aman?

PPA. Apa Itu? Seberapa Aman?

Apa itu PPA?

PPA adalah singkatan dari Personal Package Archive atau Paket Arsip Pribadi.

Disebut Pribadi, belum tentu milik seorang individu. Pribadi di sini untuk menyatakan bahwa Paket (Aplikasi) tersebut dikelola secara mandiri oleh masing-masing orang, kelompok atau lembaga.

Sebelum memahami PPA, kamu harus mengetahui konsep repositori di Linux. Kita tidak akan membahas itu sekarang, terlalu lama.

Konsep Repositori dan Manajemen Paket

Repositori adalah kumpulan file yang memiliki informasi tentang berbagai perangkat lunak, versinya dan beberapa detail lainnya seperti checksum. Setiap versi Ubuntu memiliki empat repositori resmi:

  • Main – perangkat lunak bebas dan sumber terbuka yang didukung Canonical.
  • Universe – Perangkat lunak bebas dan sumber terbuka yang dikelola komunitas.
  • Restricted – driver eksklusif untuk perangkat.
  • Multiverse – Perangkat lunak dibatasi oleh masalah hak cipta atau hukum.

Kamu dapat melihat repositori semacam itu untuk semua versi Ubuntu di sini. Kamu dapat menelusuri mereka dan juga pergi ke repositori individu. Sebagai contoh, repositori utama Ubuntu 18.04 dapat ditemukan di sini.

Jadi pada dasarnya ini adalah URL web yang memiliki informasi tentang perangkat lunak. Bagaimana sistem Kamu tahu di mana repositori ini?

Informasi ini disimpan dalam file sources.list di direktori

/etc/apt

Jika Kamu melihat kontennya, Kamu akan melihat bahwa file tersebut memiliki URL repositori. Baris dengan tanda # di awal akan diabaikan.

Sekarang ketika Kamu menjalankan perintah sudo apt update, sistem Kamu menggunakan alat APT untuk memeriksa terhadap repository dan menyimpan informasi tentang perangkat lunak dan versinya dalam cache. Ketika Kamu menggunakan perintah sudo apt install package_name, ia menggunakan informasi untuk mendapatkan paket itu dari URL tempat perangkat lunak yang sebenarnya disimpan.

Jika repositori tidak memiliki informasi tentang paket tertentu, Kamu akan melihat kesalahan seperti:

E: Tidak dapat menemukan paket

Mengapa PPA digunakan?

Seperti yang Kamu lihat, Ubuntu mengontrol perangkat lunak apa saja dan yang lebih penting versi perangkat lunak apa saja yang Kamu dapatkan di sistem Kamu. Tetapi bayangkan jika pengembang perangkat lunak merilis versi baru dari perangkat lunak tersebut.

Ubuntu tidak akan segera membuatnya tersedia. Ada prosedur untuk memeriksa apakah versi baru dari perangkat lunak tersebut kompatibel dengan sistem atau tidak. Ini untuk memastikan stabilitas sistem.

Tetapi ini juga berarti perlu beberapa minggu atau dalam beberapa kasus, beberapa bulan sebelum tersedia oleh Ubuntu App Center. Tidak semua orang ingin menunggu selama itu untuk mendapatkan versi baru dari perangkat lunak favorit mereka.

Demikian pula, anggaplah seseorang mengembangkan perangkat lunak dan ingin Ubuntu menyertakan perangkat lunak itu dalam repositori resmi. Sekali lagi akan memakan waktu berbulan-bulan sebelum Ubuntu membuat keputusan dan memasukkannya ke dalam repositori resmi.

Kasus lain adalah selama pengujian beta. Bahkan jika versi stabil dari perangkat lunak ini tersedia di repositori resmi, pengembang perangkat lunak mungkin ingin beberapa pengguna akhir untuk menguji rilis mendatang. Bagaimana mereka memungkinkan pengguna akhir untuk menguji beta rilis yang akan datang?

Jawabannya : Masukkan ke PPA!

Bagaimana cara menggunakan PPA? Bagaimana cara kerja PPA?

PPA, seperti yang sudah saya katakan, berarti Arsip Paket Pribadi. Pikirkan kata ‘Pribadi’ di sini. Itu memberi petunjuk bahwa ini adalah sesuatu yang eksklusif untuk pengembang dan tidak secara resmi didukung oleh distribusi.

Ubuntu menyediakan platform yang disebut Launchpad yang memungkinkan pengembang perangkat lunak untuk membuat repositori mereka sendiri. Seorang pengguna akhir yaitu Kamu dapat menambahkan repositori PPA ke sources.list Kamu dan ketika Kamu memperbarui sistem, sistem Kamu akan tahu tentang ketersediaan perangkat lunak baru ini dan Kamu dapat menginstalnya menggunakan perintah sudo apt install install standar seperti contoh ini :

sudo add-apt-repository ppa:dr-akulavich/lighttable
sudo apt-get update
sudo apt-get install lighttable-installer

Ringkasannya:

sudo add-apt-repository <- Perintah ini menambahkan repositori PPA ke daftar /etc/source.list. sudo apt-get update <- Perintah ini memperbarui daftar paket yang dapat diinstal pada sistem. sudo apt-get install <- Perintah ini menginstal paket. Kamu lihat kan?, bahwa penting untuk menggunakan perintah sudo apt update atau sistem Kamu tidak akan tahu kapan paket baru tersedia.

Seberapa Aman PPA itu?

Skrip instalasi setiap paket harus memiliki akses root ke sistem Kamu.
Kemudian muncul pertanyaan : “jadi, saya hanya menambahkan PPA atau menginstal paket dari salah satu PPA, dan tidak lebih dari itu?”

Apa yang terjadi jika kepercayaan Kamu salah tempat dan pemilik PPA ternyata nakal?

Untuk mengunggah ke PPA, sebuah paket harus memiliki tandatangan dengan kunci GPG yang unik untuk pengguna launchpad (memang, kunci yang sama mereka gunakan untuk menandatangani kode etik PPA). Jadi dalam kasus PPA dengan kategori berbahaya, kami hanya akan melarang akun dan mematikan PPA (sistem yang terkena dampak masih akan dikompromikan, tapi toh tidak ada cara yang baik untuk memperbaikinya pada saat itu).

Hingga taraf tertentu, fitur sosial Launchpad dapat digunakan sebagai sedikit tindakan pencegahan bagi pengguna jahat. Seseorang yang memiliki sejarah berkontribusi pada Ubuntu dan beberapa nilai jasa (Karma) Launchpad yang telah mapan misalnya, kecil kemungkinannya untuk membuat perangkap pada PPA mereka.

Atau bagaimana jika seseorang mendapatkan kendali atas PPA yang bukan milik mereka?

Yah, ini sedikit lebih keras dari skenario ancaman, tetapi juga lebih kecil kemungkinannya karena membutuhkan penyerang untuk mendapatkan file kunci pribadi pengguna launchpad (umumnya hanya di komputer mereka) serta kode pembuka kunci untuk itu (umumnya kata sandi yang kuat tidak digunakan untuk hal lain). Namun, jika ini terjadi, biasanya cukup mudah bagi seseorang untuk mengetahui bahwa akun mereka telah disusupi (Launchpad misalnya akan mengirim email kepada mereka tentang paket yang tidak mereka unggah), dan prosedur pembersihannya akan sama.

Jadi, singkatnya, PPA adalah tempat yang memungkinkan untuk jadi sarang perangkat lunak berbahaya, tetapi diluar PPA, ternyata ada banyak metode yang lebih mudah bagi penyerang untuk mengejar Kamu.

Disarikan dari : https://itsfoss.com/ppa-guide/ dan https://askubuntu.com

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *