Sonatype, kompani e specializuar në menaxhimin e zinxhirit të furnizimit të softuerit, ka zbuluar se në depozitin komunitar Arch User Repository (AUR) janë futur rreth 1,500 pakete keqdashëse. Gjetja u publikua në një postim në blogun e kompanisë më 12 qershor, duke ngritur shqetësime serioze për sigurinë e përdoruesve të Arch Linux dhe varianteve të tij.
Ekipi i Arch-it ka reaguar me një deklaratë të shkurtër, duke i këshilluar përdoruesit që të kontrollojnë me kujdes çdo ndryshim në skedarët PKGBUILD dhe skriptet e instalimit kur përditësojnë paketat. “Nëse vini re komente të dyshimta në një paketë që përdorni, ju lutemi kontaktoni stafin e Arch-it përmes listës së postimeve aur-general me më shumë informacione,” tha ekipi.
Autorët e artikullit rekomandojnë që përdoruesit të çinstalojnë menjëherë çdo paketë të instaluar nga AUR, duke përdorur komandën pacman për ta hequr. Pas heqjes, sugjerohet të kontrollohet lista e paketave të instaluara me pacman -Q dhe të monitorohet trafiku në dalje përmes mjeteve si Wireshark. Si alternativë, rekomandohet kalimi te Flatpak dhe instalimi i aplikacioneve nga depoziti Flathub, i cili ofron një gamë të gjerë aplikacionesh, përfshirë edhe disa të disponueshme vetëm në këtë platformë.
Megjithëse Arch Linux konsiderohet një sistem operativ i sigurt, AUR mbetet një pikë e brishtë, pasi kontrolli i paketave ngarkohet në dorë të përdoruesve të besuar (Trusted Users). Pa një sistem më të fortë verifikimi të integritetit të paketave, besueshmëria e AUR-së mund të dëmtohet në mënyrë të rëndësishme.