Nach dem jüngsten Sicherheitsvorfall bei AUR bietet Yay 13.0 nun neue Funktionen für die Überprüfung und Automatisierung

Yay 13.0 bietet nun Lua-Hooks, die Anzeige des Alters von PKGBUILD-Dateien sowie neue Automatisierungstools – als Reaktion auf die jüngsten Bedenken hinsichtlich der Sicherheit von AUR-Paketen.
Eine Übersetzung von 🇬🇧 Linuxiac.com

Yay 13.0 wurde als umfangreiches Update für den beliebten AUR-Helper für Arch Linux veröffentlicht, nachdem es kürzlich zu einem Sicherheitsvorfall im AUR gekommen war, bei dem bösartige Pakete eine Rolle spielten.

Wichtig ist, dass das Update weder die Funktionsweise des AUR verändert noch die Sicherheit der Pakete garantiert. Stattdessen bietet es den Nutzern zusätzliche Werkzeuge, um den Überprüfungsprozess vor der Installation oder Aktualisierung von Paketen zu überprüfen, zu filtern und zu automatisieren.

Eine wichtige Neuerung ist die Anzeige des Zeitstempels der letzten Änderung des PKGBUILD. Yay zeigt nun in Suchergebnissen, in Yogurt und in den Upgrade-Menüs an, wie lange es her ist, dass das PKGBUILD eines AUR-Pakets zuletzt geändert wurde. Zwar sind aktuelle Änderungen nicht per se verdächtig und ältere nicht unbedingt sicher, doch bietet der Zeitstempel den Nutzern einen weiteren Faktor, den sie bei der Überprüfung berücksichtigen können.

Beispielsweise zeigt yay nun bei der Suche nach oder beim Aktualisieren von AUR-Paketen Altersangaben an, wie etwa die Anzahl der Stunden oder Tage seit der letzten Aktualisierung der PKGBUILD-Datei. Angesichts der jüngsten Sicherheitsbedenken ist dies eine besonders relevante Funktion, da Nutzer Paketänderungen und die Aktivitäten der Betreuer nun genauer im Auge behalten.

Eine weitere wichtige Neuerung in yay 13.0 ist die Unterstützung für die Lua-Konfiguration. Yay kann nun eine init.lua Datei aus dem Verzeichnis $XDG_CONFIG_HOME/yay/init.lua laden, in der Regel ~/.config/yay/init.lua. Vorhandene config.json Dateien werden weiterhin unterstützt, die Lua-Konfiguration kann diese Einstellungen jedoch überschreiben. Befehlszeilenoptionen haben weiterhin Vorrang.

Zudem wird ein neuer Hook namens UpgradeSelect während des Befehls yay -Syu ausgeführt, nachdem die Upgrades berechnet wurden und bevor das Menü zum Ausschluss von Paketen erscheint. Er kann bestimmte Pakete automatisch von Upgrades ausschließen, beispielsweise AUR-Pakete mit kürzlich geänderten PKGBUILDs.

Yay 13.0 führt außerdem die Hooks AURPreInstall und AURPostDownload ein. AURPreInstall wird ausgeführt, nachdem die PKGBUILD-Repositorys abgerufen wurden, jedoch noch vor den Schritten „clean“, „diff“, „edit“ oder „build“, wodurch es sich für Überprüfungen auf Basis des PKGBUILD Inhalts eignet. AURPostDownload wird nach makepkg --verifysource ausgeführt, sodass Hooks sowohl auf das PKGBUILD-Repository als auch auf die heruntergeladenen Quelldateien zugreifen können, bevor die Installation fortgesetzt wird.

Die Veröffentlichung stellt den Hooks zudem zusätzliche Paketinformationen zur Verfügung, darunter Daten zu AUR-Paketbetreuern, und fügt Unterstützung für Suchfilter- und Post-Install-Hooks hinzu. Diese Funktionen ermöglichen es Benutzern, benutzerdefinierte Prüfungen für kürzlich geänderte Pakete, Änderungen bei den Betreuern, neue Einreichungen, Quell-URLs oder andere Metadaten zu erstellen.

Der Yay-Betreuer erklärte, das Ziel sei es, „Sicherheitstheater“ zu vermeiden, und merkte an, dass automatisierte Prüfungen zwar hilfreich seien, jedoch die manuelle Überprüfung der Build-Dateien nicht ersetzen sollten.

Weitere Details finden Sie im Changelog oder in der Veröffentlichungsankündigung. Yay 13.0 ist ab sofort als Update im AUR für Arch-Benutzer verfügbar.

Spendieren Sie Bobby einen ☕ Ko-fi

s3n🧩net wünscht viel Vergnügen