Askyx schriebIch habe mir alle möglichen Artikel durchgelesen und werde daraus nicht schlau.
und
Askyx schrieb
Nein, ich baue die Pakete nicht selber. Ich meine die Software, die man aus dem AUR installiert.
Dann waren es definitiv die falschen Artikel, sonst hättest du das zweite Zitat so nicht geschrieben. Ich gehe mal stark davon aus, daß du irgendein AUR-Hilfsprogramm (yaourt, usw) nutzt. Nur: der Nachteil dieser Helferlein ist, daß sie wesentliche Teile der Struktur von AUR (im Unterschied zu den Repositorieren wie extra, community) vor dem Nutzer verschleiern.
Kurz: eigentlich dürfte man die Nutzung von yaourt usw. erst "erlauben", wenn der Mensch nachgeweisen kann, schon mindest 3 AUR-Pakete "per Hand" hergestellt zu haben ;-), eine Art "AUR-Führerschein"...
https://wiki.archlinux.de/title/Arch_User_Repository
https://wiki.archlinux.org/index.php/AUR
https://wiki.archlinux.org/index.php/AUR#FAQ
Nimm mal als Beispiel den vlc (oder den linux-Kernel):
per: pacman -S vlc bekommst du aus dem extra-Repositorium das Archivpaket vlc-#versionsnummer.tar.xz. Dieses Archiv enthält das vom Arch-Maintainer bereits erstellte/kompilierte Binärprogramm vlc, pacman "entpackt" das in dein Archlinux und du kannst es nutzen.
Per AUR: hier würdest du eben kein fertig erstelltes Binärprogramm vlc erhalten, sondern du beziehst lediglich:
a) die Bauanleitung für vlc (Ikea-Sprech: "Bastlerplan", auch PKGBUILD genannt)
b) ggf. Patches/Korrekturen um Sourcecode bzw. das Endprodukt an dein Archlinux anzupassen da der Originalcode des Programmierers von vlc bestimmte Gegebenheiten nicht berücksichtigt.
Aber eben nichts "Fertiges", kein "Programm", keine "Äpp"...
Das PKGBUILD (Textdatei, kann man sich ruhig mal mehrere ansehen) reicht aus, um im AUR für Benutzer eine bestimmte Anwendung verfügbar zu machen. Diese Bauanleitung besteht im wesentlichen aus zwei großen Einheiten:
a) Woher wird der (Source)code von vlc bezogen, quasi ein Downloadlink.
b) Wie wird der (Source)code verarbeitet (kompiliert, gepatcht, für die Archlinux-Gegebenheiten strukturiert,etc.)
Im AUR wird weder der "Sourcecode" gehostet/gelagert (im Gegensatz wie z.B. mindestens früher bei Debian), was oftmals auch lizenzrechtlich nicht möglich ist, noch fertige Anwendungen (Java-Programme bestehen oft nur aus einem jar-Archiv, im AUR gibt es nun nicht dieses Archiv zum Download sondern eben per PKGBUILD nur die Downloadadresse, also quasi als würdest du als User per Browser einen Hersteller-Downloadlink anklicken).
Im Zuge der Verarbeitungs-Einheit wird dann (Bsp eben vlc oder Kernel) - da das C/C++ Quellcode ist - der Kompilierungsprozess gestartet (der berühmte Dreisatz ./configure, make und make install). Das ist dann eben der (oft mißverstandene) Teil wo du als User eben doch "Pakete selbst baust".
Als **End**ergebniss dieser Prozedur (die eben "offiziell", ohne Helferlein, per makepgk ausgeführt wird) erstellst du (lokal, nur für dich) eben dann das vlc.#versionsnummer.tar.xz Binärpaket. Dieses installierst du dann per pacman -U vlc.#versionsnummer.tar.xz in dein System.
Wenn das soweit verinnerlicht wäre, dann zu deiner eigentlichen Frage: Wie ist die Aussage: "AUR packages are user produced content. Any use of the provided files is at your own risk. " für dich als Normaluser zu werten?
Erster Gedanke (und auch meine Erfahrung, die z.B. auch für Windows-User gilt):
a) Die Bezugsquelle des Codes/der Anwendung sollte möglichst vom Hersteller/Programmierer/Firma direkt kommen. D.h. fürs AUR speziell wäre mein Blick als erstes im PKGBUILD: woher wird der vlc-Sourcecode runtergeladen? Ist das die URL, die z.B. auch auf der offiziellen Webseite zu vlc als Bezugsquelle für den Code/Programm ausgewiesen ist, bzw. macht die Download-Adresse einen "offiziellen, richtigen" Eindruck? Wenn im PKGBUILD zu vlc jetzt eine "verkrüppelte/verkürzte" URL drinstehen würde, oder sagen wir irgendeine IP-Adresse statt einer Domain, oder der Link auf Server in Japan oder Rußland zeigen würde: Dann würde mich das skeptisch machen ob ich von sowas wirklich den offiziellen Code von vlc kriege oder irgendwas "Schadhaftes". Genauso wie ich als Win-User eben den vlc nicht von einem per Google gefundenen Downloadserver aus Rußland downloaden würde, sondern eben am besten von der offiziellen Webseite.
Das ist ein Schutz, den man sich auch als Normaluser, Nichtprogrammierer/"Guru" leisten kann = gesunder Menschenverstand.
b) Das ganze PKGBUILD ist ein Shellskript("Programm"), welches eben durch makepkg (oder die Helferlein) gestartet wird. Wer etwas Shellskript versteht bzw. mich Linux-Tools/Kommandos vertraut ist, sollte das PKGBUILD (v.a. in seinen prepare/build/package/install Sektionen) auf "ungewöhnliche, unerwartete" Befehle prüfen. Von 100 AUR-Nutzern, die *mein* PGKBUILD benutzen, finde ich sicher noch einen Deppen, der das als root ausführt: Warum also nicht einen remove/mkfs-Befehl in das PKGBUILD reinpacken um "Schaden" anzurichten?
Ebenso könnte ich ein im AUR ein PKGBUILD (plus Patchfile) hochladen, der zum einen dir ordnungsgemäß den vlc erstellt - aber eben noch irgendein nettes Zusatzteil per install-Vorgang "unterjubelt". Sowas kann man (mit der entsprechenden Erfahrung) erkennen, auch ist das AUR kein Ort, der sich vollkommen unkontrolliert zu einer Art "Virenbörse" entwickeln könnte. Aber: es ist ein vornehmlich von uns Normaluser zu verantwortender Bereich.
c) Richtige "Cracks" schauen sich nun auch evtl. den Sourcecode an hinsichtlich "böser Dinge". IM PKGBUILD gibt es mit den Prüfsummen einen gewissen Schutzmechanismus, um sicherzustellen das der Downlaod-Code auch dem entspricht, was ich als Ersteller des PKGBUILDs vorhabe. Aber das ist nur ein marginaler Schutz von ggf. "Irgendetwas".
Das ganze Prozedere von allen Programmen/Code, den ich nicht selbst geschrieben habe, ist: ab einer gewissen Schwelle muß ich einer Kette von Ereignissen einfach trauen können bzw. Vertaruen "vorschießen".
1. Wenn ich den fertigen vlc aus dem extra-Repo per pacman installiere vertraue ich dem Maintainer daß er das fertige Paket ohne "Hintertürchen" erstellt hat und ich es (bedenkenlos?) nutzen kann.
2. Beim vlc aus dem AUR kann ich mit meiner gewissen Erfahrung über den Vorgang (was macht ein PKGBUILD,makepkg?) bestimmte Stolperfallen ausschließen, überprüfen. Je mehr Erfahrung, Wissen ich über diese Vorgänge habe (was die Helferlein möglichst verhindern wollen/tun) habe, desto größer wird das Vetrauen, was ich in das vlc-PKGBUILD vorschießen kann. Ab einem gewissen Punkt muß ich auch vertrauen - oder es eben sein lassen; das ist das "own risk", eigenes Risiko: bin ich bereit es einzugehen oder verzichte ich?
Den "offiziellen" Archlinux Entwicklern/Maintainer (also diejenigen, die die base,extra,community-Repos bestücken", denen traue ich grundsätzlich mehr als dem User "John Doe", der z.B. ein PKGBUILD für den vlc im AUR erstellt/hochgeladen/betreut hat.
d) gesunder Menschenverstand: ein AUR-Paket á la "RAM-Doppler: Verdoppelt ihren Arbeitsspeicher und verlängert ihre Genitalien! Schon Millionen zufriedener Arch-Benutzer!" Wer auf sowas im AUR oder auch in der offenen Internet-Prärie reinfällt - ist einfach selber Schuld.