Aggregatore GNU/Linux e dintorni

GNU/Linux for everyone and forever

Yay 13.0 introduce nuove funzionalità di revisione e automazione dopo il recente allarme sulla sicurezza nell’AUR

di ·

Arch Linux Logo

La versione 13.0 di Yay, il popolare assistente per l’Arch User Repository (AUR) della distribuzione GNU/Linux Arch Linux, è stata pubblicata come aggiornamento significativo a seguito di un recente incidente di sicurezza che ha coinvolto pacchetti software dannosi nel repository software comunitario. È fondamentale sottolineare che questo aggiornamento non modifica il funzionamento dell’AUR né garantisce la sicurezza dei pacchetti software. Al contrario, fornisce agli utenti strumenti aggiuntivi per ispezionare, filtrare e automatizzare il processo di revisione prima di installare o aggiornare i pacchetti software, offrendo così un maggiore controllo su ciò che viene installato nel sistema.

Una delle novità principali è la visualizzazione dei timestamp dell’ultima modifica dei file PKGBUILD, lo script che definisce come un pacchetto software deve essere compilato e installato in Arch Linux. Ora Yay mostra da quanto tempo è stato modificato il PKGBUILD di un pacchetto software AUR:

  • nei risultati di ricerca
  • all’interno di yogurt (l’interfaccia testuale alternativa integrata in Yay)
  • nei menu di aggiornamento.

Sebbene le modifiche recenti non siano necessariamente sospette e quelle più vecchie non siano automaticamente sicure, il timestamp offre agli utenti un ulteriore elemento di valutazione durante la fase di revisione, consentendo di identificare più facilmente pacchetti software che potrebbero richiedere un’analisi più approfondita.

Ad esempio, Yay visualizza ora indicatori temporali, come le ore o i giorni trascorsi dall’ultimo aggiornamento del PKGBUILD, quando si effettua una ricerca o un aggiornamento dei pacchetti software AUR. Questa funzionalità risulta particolarmente rilevante alla luce dei recenti problemi di sicurezza, poiché gli utenti stanno prestando maggiore attenzione alle modifiche dei pacchetti software e all’attività dei manutentori, che sono i volontari che si occupano della gestione e dell’aggiornamento dei pacchetti software nel repository software AUR.

Un’altra modifica importante nella versione Yay 13.0 è il supporto per la configurazione in Lua, un linguaggio di scripting leggero e potente ampiamente utilizzato per estendere le funzionalità delle applicazioni. Yay può ora caricare un file init.lua dalla cartella $XDG_CONFIG_HOME/yay/init.lua, che tipicamente corrisponde a ~/.config/yay/init.lua. I file di configurazione config.json esistenti rimangono supportati, ma la configurazione in Lua può sovrascrivere queste impostazioni, offrendo una maggiore flessibilità. Le opzioni passate da riga di comando continuano ad avere la precedenza, garantendo che gli utenti possano sempre sovrascrivere le impostazioni predefinite.

Inoltre, un nuovo hook (un meccanismo che permette di eseguire script automatici in punti specifici del processo di gestione dei pacchetti software), denominato UpgradeSelect, viene eseguito durante il comando yay -Syu (che sincronizza e aggiorna il sistema) dopo che gli aggiornamenti sono stati calcolati e prima che venga visualizzato il menu di esclusione dei pacchetti software. Questo hook può escludere automaticamente pacchetti software specifici dagli aggiornamenti, come i pacchetti software AUR con PKGBUILD recentemente modificati, riducendo così il rischio di installare versioni potenzialmente non testate o sospette.

Yay 13.0 introduce anche gli hook AURPreInstall e AURPostDownload. L’hook AURPreInstall viene eseguito dopo che i repository software dei PKGBUILD sono stati scaricati, ma prima delle operazioni di pulizia, confronto, modifica o compilazione, rendendolo utile per eseguire controlli basati sul contenuto del file PKGBUILD. Questo permette, ad esempio, di verificare la presenza di comandi sospetti o di dipendenze non sicure prima che il processo di installazione proceda.

L’hook AURPostDownload, invece, viene eseguito dopo il comando makepkg --verifysource (che verifica l’integrità delle sorgenti scaricate), permettendo agli hook di accedere sia al repository software del PKGBUILD che ai file sorgente scaricati prima che l’installazione proceda. Questo consente di eseguire controlli aggiuntivi sui file scaricati, come la verifica degli hash o la ricerca di pattern sospetti, prima che i pacchetti software vengano effettivamente installati nel sistema.

Questa versione espone inoltre informazioni aggiuntive sui pacchetti software agli hook, inclusi i dati dei manutentori dei pacchetti software AUR, e aggiunge il supporto per gli hook di filtro di ricerca e post-installazione. Queste funzionalità permettono agli utenti di creare controlli personalizzati per pacchetti software recentemente modificati, cambiamenti dei manutentori, nuove sottmissioni, URL delle sorgenti o altri metadati, offrendo un livello di personalizzazione senza precedenti per la gestione della sicurezza e della qualità dei pacchetti software.

Il manutentore di Yay ha dichiarato che l’obiettivo di queste novità è evitare il cosiddetto “security theater”, un termine che indica misure di sicurezza che sembrano efficaci ma che in realtà non lo sono. Secondo il team di sviluppo, i controlli automatici sono utili, ma non devono sostituire la revisione umana dei file di compilazione, che rimane il metodo più affidabile per garantire la sicurezza dei pacchetti software installati.

Yay 13.0 è ora disponibile come aggiornamento nell’AUR per gli utenti di Arch Linux, che possono installarla o aggiornarla utilizzando il comando yay -Syu.

Per ulteriori dettagli, è possibile consultare il changelog (il registro delle modifiche) o l’annuncio ufficiale della versione.

Fonte: https://jguer.space/blog/2026-06-15-yay-v13
Fonte: https://github.com/Jguer/yay/releases/tag/v13.0.0
Fonte: https://linuxiac.com/yay-13-0-adds-new-review-and-automation-features/

Visited 1 times, 1 visit(s) today
Se vuoi sostenermi, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che ho nel mio sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul mio negozio online, quelle mancanti possono essere comunque richieste.

Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Tag:

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.