it-swarm-ja.com

ソースtarball( `.tar.gz`)、Ubuntu Software Centre、または他の場所からプログラムをインストールする必要がありますか?

Ubuntuにアプリケーションをインストールする方法はいくつかあります。

  • ソースtarball(通常は.tar.gzまたは.tar.bz2ファイル)をダウンロードして、手動でインストールできます。 ( 。tar.gz(または.tar.bz2)ファイルをインストールするにはどうすればよいですか? )を参照してください)

  • .debファイルをダウンロードして、dpkgまたはソフトウェアセンターを使用して手動でインストールできます。

  • Ubuntu Software Centerでアプリケーションを検索してインストールするか、公式のUbuntuリポジトリでaptを使用できます。

  • PPAまたはサードパーティのリポジトリを見つけて、そこからインストールできます。

各方法の長所と短所は何ですか?回答では、各方法のセキュリティへの影響、更新の頻度、およびプログラムの信頼性について説明してください。

29
Flimm

簡単な答えはUbuntu Software Centerからのインストールが他のすべての方法より一般的に望ましいことです。ただし、他の場所からプログラムをインストールする場合があります。


ソースからのインストール:

  • セキュリティへの影響:ソフトウェアの作成者およびダウンロードをホストするWebサイトを信頼する必要があります。また、ダウンロードがHTTPSを介して実行されることを確認する必要があります。そうでない場合、サードパーティがダウンロードを変更する可能性があります。

  • 更新の頻度:常に最新かつ最高のものを入手できます!更新は、元の作成者が選択した頻度で行われます。ただし、手動で更新を確認する必要があります。

  • 信頼性:他の方法ほど信頼性が高くない場合があります。ソフトウェアのテストが少なくなり、Ubuntu、他のLinuxディストリビューションだけでテストされていない可能性があるためです。

  • インストールとアンインストールの容易さ:すべてのオプションの中で最も難しい。経験豊富なユーザーであっても、管理がはるかに簡単なネイティブDebianパッケージを使用することを好むため、このオプションを避けることができます。

.debパッケージからのインストール:

  • セキュリティへの影響:ソースからのインストールと同じです。

  • 更新の頻度:ソースからのインストールと同じです。

  • 信頼性:ソースからインストールするよりもわずかに優れています。著者が.debパッケージを提供した場合、それはおそらくDebianまたはUbuntuでいくつかの最小限のテストを行ったことを意味します。

  • インストールとアンインストールの容易さ:非常に簡単です。ダブルクリックして「インストール」をクリックするだけです!アンインストールも同様に簡単です。

Ubuntu Software Centreからのインストール:

  • セキュリティへの影響:ソフトウェアの作成者とUbuntuリポジトリ管理者を信頼する必要があります。全体として、これはソースから直接インストールするよりも優れたセキュリティです。プログラムはDebianやUbuntuのメンテナーによってある程度レビューされているためです。 DebianやUbuntuのメンテナーは、プログラムがオープンソースの場合、セキュリティの欠陥を修正するためにプログラムにパッチを適用することもできます。

  • 更新の頻度:Debianおよび/またはUbuntuのメンテナーは、ソフトウェアの一部のリリースのみを選択します。 (たとえば、安定した更新のみを選択できます)。プログラムのリリースと、Debianおよび/またはUbuntuリポジトリへの組み込みとの間に遅延があります。最新かつ最高のものが必要な場合、これは最適なオプションではありません。レビュー済みの安定した更新が必要な場合、これは良いオプションです。更新は、更新マネージャーとapt-getを介して自動的に提案されます。

  • 信頼性:ソースからインストールするよりもはるかに優れています。プログラムがUbuntu向けにレビューおよび調整されているためです。

  • インストールとアンインストールの容易さ:非常に簡単です。

PPAまたはサードパーティリポジトリからのインストール:

  • セキュリティへの影響:ソフトウェアの作成者とPPAを管理する人を信頼する必要があります。誰でもPPAをホストできるので、LaunchpadにあるからといってPPAを信頼しないでください。ユーザーは怠zyで、ソフトウェアをまったくレビューしていなかった可能性があります。

  • 更新の頻度:PPAに依存します。更新の確認は簡単です。

  • 信頼性:Ubuntu Software Centreからインストールするよりも信頼性が低いことがよくあります。 PPAは、Ubuntu Software Centreの基準をまだ満たしていないプログラムのために存在するため、実質的に信頼性が低いことが保証されています。

  • インストールとアンインストールの容易さ:学ぶのは難しくなく、Ubuntuのパッケージ管理とうまく適合します。

19
Flimm
  • 信頼性:
    • Tarballからインストールする場合、ソフトウェアは他のソフトウェアを上書きしようとする場合があります。ビルドの依存関係が必要であり、プロセスの失敗率は高くなります。リポジトリ内のパッケージが依存するソフトウェアをインストールする場合、dpkgを使用して一時的にdebianパッケージに変換しない限り、checkinstallに登録されていないため、これは依存関係を満たしません。これにより、リスクが発生しますbreaking dpkgコードがオープンソースであっても、変更されていないことを確認しない限り、信頼できるサイトからダウンロードする必要があります。異なるディレクトリを使用する限り、ソフトウェアの複数のバージョンをインストールできます。 makefileでこれをオーバーライドできます。
    • Debianパッケージを使用すると、ファイルが他のプログラムのファイルを上書きすることはありませんが、Sudo dpkg -i file.debを使用する場合は、最初に依存関係をインストールする必要があります。この方法でインストールした場合、パッケージもリポジトリ内にない限りアップデートは取得されませんが、このパッケージはこのソフトウェアを必要とする依存関係を満たします。また、このパッケージにメニューエントリを与えるか、少なくともマンページを登録します。 Debianパッケージは通常Lintianでテストされ、特定のファイルに実行可能コードが含まれているかどうかに関して、パッケージが非常に厳しい一連の標準を満たすか、それを超えることを確認します。同じパッケージの複数のバージョンをインストールすることはできません。正しく作成されていないパッケージは、インストール、削除、またはbreak DPKGに失敗し、困難な修復、バックアップの必死の検索、または問題が深刻な場合は再インストールに至る可能性があります。
    • 可能な場合、aptを使用するのが最適なオプションです。依存関係は自動的に取得およびインストールされ、ランチパッドで信頼できるビルドサーバー構成を使用してパッケージがビルドされ、障害が最小限に抑えられます。パッケージはaptitudeまたは他の同様のツールを使用して検索でき、アップデートマネージャーを介してアップデートを簡単に促進できます。依存関係もaptに由来するため、パッケージは依存関係と適切に対話する可能性が高くなります。パッケージはdebsと同様にLintianを介してテストされますが、非常に安定したビルドサーバーと組み合わせたテストにより、さらに安定したパッケージが作成されます。パッケージはUbuntuのビルドサーバーを通過するため、ほとんどの場合、OSの他の部分と統合するように調整されます。同じパッケージの複数のバージョンはインストールできません。 UbuntuのビルドサーバーはPPAに使用されるため、自動linitianingによりaptを壊す変更が少なくなります。
  • 更新中:
    • Tarballを使用すると、プログラムが独自のチェックを行わない限り、更新プログラムは取得されません。その場合、そのような更新プログラムを手動でインストールする必要があり、それらは単一の場所に統合されません。たぶん、tarballで毎晩または現在のソースコードを入手して、コンパイルしてインストールすることができます。最先端のコードが必要な場合、それは役に立つかもしれません。
    • Debianでは、パッケージがリポジトリを持っている場合にのみパッケージが更新されます。開発者はほとんどの場合、Debianパッケージを出血しているEdgeソースの少し後ろに置きますが、ベータ版はしばしばオンラインのdebsで見つかります。
    • aptを使用すると、パッケージは非常に簡単に更新されます。更新は1つの場所である更新マネージャーに統合され、自動または半自動で行われます。 Ubuntuのアルファ版またはベータ版を使用している場合を除き、現在のアップストリームソースの1つまたは2つ後のバージョンであっても、十分にテストされたバージョンを使用します。セキュリティ更新プログラムは、状況がさらに悪化しないことを確認するために軽くテストされるとすぐにプッシュされます。つまり、セキュリティはタイムリーな更新で保護されますが、これらの更新はデータの損失を防ぐためにチェックされます。
  • セキュリティ:
    • Tarballはデジタル署名されていません。それらは悪意のある第三者によって破壊または変更される可能性があります。ハッシュサム(MD5を回避)を実行しても、SHAまたはMD5サムを提供するため、サイトの所有者とパッケージの作成者を信頼する必要があります。
    • Debianパッケージは署名されていませんが、dpkgはdebianパッケージが他のファイルを上書きすることを許可しないため、悪意のあるdebはinitを破壊したり、bashを上書きして破壊したりできません。ウェブサイトとパッケージの作成者を常に信頼する必要があります。
    • aptはリポジトリに署名されたキーを使用するため、赤旗が表示されずに暗号化できません。 PPAアップロードはデジタル署名されているため、PPAの非所有者は壊れたパッケージや安全でないパッケージを作成できません。別のパッケージのファイルの上書きも強制されます。もちろん、実行時に悪意のあるコードを含む未チェックのパッケージが実行されるため、PPAまたはリポジトリ所有者を信頼する必要があります。
33
hexafraction