Comment être certain que les jeux ou autres applications du centre de découverte de SteamOS sont légitimes ?

Question

Lorsque vous lancez le Steam Deck en mode bureau, l'interface utilisateur contient par défaut un raccourci vers quelque chose appelé "Discover Software Center". Mon expérience des systèmes basés sur Linux est très limitée, mais je sais que la plupart des distributions ont une sorte de centre logiciel ou de gestionnaire de paquets comme celui-ci, comparable à un magasin d'applications. J'ai lu que chaque distribution Linux possède son propre référentiel de jeux et d'applications, je suppose donc qu'il en va de même pour SteamOS. Ce que je ne comprends pas, cependant, c'est comment ces dépôts sont gérés et conservés. Est-ce que l'équipe ou la société derrière le système d'exploitation vérifie manuellement tout ce qui s'y trouve, ou est-ce que n'importe qui pourrait théoriquement se faire passer pour le développeur d'un logiciel populaire et soumettre quelque chose de malveillant pour qu'il y apparaisse ?

Le cas spécifique qui a soulevé cette question pour moi est lorsque j'ai voulu installer Discord sur le Steam Deck. Je l'ai trouvé dans Discover, mais la description de l'application dit "Ce wrapper n'est pas vérifié par, affilié à, ou soutenu par Discord Inc.". Cela me laisse perplexe, et il ne semble pas y avoir de clarification supplémentaire à ce sujet. Je suis conscient de l'existence de clients tiers pour des applications comme Discord, mais comment puis-je être certain qu'ils ne voleront pas mes informations de connexion ou n'exécuteront pas secrètement d'autres choses en arrière-plan que je ne souhaite peut-être pas ? Des préoccupations similaires s'appliquent à d'autres jeux et programmes.

Peut-on faire aveuglément confiance à la sécurité de tout ce qui se trouve dans le centre de découverte ? Si oui, pourquoi, et si non, comment pouvez-vous vous en assurer ?

Answer 1

L'idée derrière des services comme celui-ci est le "crowd sourcing". Les gens peuvent partager quelque chose que d'autres peuvent utiliser, et tous les utilisateurs sont censés faire confiance à ce qu'ils utilisent. Les services d'approvisionnement par la foule bien organisés ont tendance à permettent de contribuer assez facilement bien qu'ils aient généralement beaucoup de règles sur ce qui peut être soumis. En outre, les utilisateurs réguliers et les modérateurs ou administrateurs exercent généralement une surveillance volontaire du contenu.

ClamAV (et probablement d'autres) peuvent au moins scan des flatpaks après l'installation . Considérez cependant ce commentaire Reddit (édité pour la clarté et la longueur) :

Par défaut, les dossiers système ne sont pas accessibles par le conteneur qui exécute l'application flatpak. Vous pouvez personnaliser les permissions si vous ne faites pas confiance au mainteneur ( Flatseal est un outil utile pour cela). Par exemple, je crée une politique stricte (pas de réseau, n'a accès qu'à un répertoire spécifique, etc). L'autre question que cela soulève est de savoir ce qui est le plus sûr : Un paquet "officiel" qui a un accès complet à votre système, ou un paquet "inconnu" qui vit par défaut dans un conteneur ?

En fin de compte, c'est à chaque utilisateur d'éviter de "faire confiance mais vérifier", ou d'enfermer les applications dans leur propre petit monde et de les considérer comme "suffisamment sûres" si vous ne pouvez pas vérifier si elles sont dignes de confiance. Il existe des communautés comme Flathub sur Discourse y /r/flatpak sur Reddit Les communautés Steam Deck peuvent également être utiles, car elles sont particulièrement concernées et de nombreux utilisateurs compétents se feront un plaisir de les aider.