Je suis sûr que vous êtes comme moi, vous avez tout un tas de dépôts dans votre fichier /etc/apt/sources.list pour installer telles ou telles applications non disponibles chez Ubuntu, installer des packages un peu plus à jour que les officiels, etc.

Mais quelle confiance réelle pouvons-nous faire à ces diverses sources de packages que nous ajoutons ?
Franchement, je me pose la question... Si on peut faire une confiance aveugle aux dépôts officiels de notre distribution préférée (comprendre celles qui sont en *.ubuntu.com) et éventuellement à quelques sources fiables (canonical.com, videolan.org, etc.) quid des autres dépôts plus ou moins exotiques que l'on voit fleurir un peu partout et relayés dans la communauté ?

Certes, d'aucun va me dire qu'il faut faire attention à ce qu'on installe et il aura raison, mais qui connaît vraiment tous les packages installés sur son système (surtout qu'avec le jeu des dépendances...) et leur rôle ? Quid du débutant (voir moins débutant) qui aura trouvé tel ou tel dépôt (que ce soit dans le wiki, dans le forum, dans le planet, via IRC, etc.) voire un fichier sources.list bien complet (parfois le nôtre, celui d'un vrai bon geek qui se respecte et qui, en cas de coup dur, sait s'en sortir, LUI) et qui remplacera le sien sans même regarder ce qu'il contient pour installer la super méga over top cool d'appli ?

Bref, c'est une histoire de confiance, mais quand on voit que certains de ces dépôts tiennent vraiment de l'amateurisme et nombre de packages qu'ils contiennent sont mal créés (pas de description, section inconnue, adresse email du mainteneur plus ou moins exotique, paquets non signés, etc.) cela n'engage pas vraiment à la confiance. De plus, qui nous dit que l'installation de leurs packages ne va déstabiliser notre système, y inclure des bugs ou des failles de sécurité, voire, pourquoi pas, des petits bouts de code indiscret, etc. ? La réflexion est valable également pour les fichiers *.deb qui traînent de ci de là...

Bref, je m'interroge et je pense que je vais faire peur à quelques uns, c'est d'ailleurs le but mais, sans un peu de parano, notre système d'exploitation préféré n'aurait pas cette qualité.
Donc, si vous ne voulez pas de problème, je vous invite à utiliser uniquement les dépôts officiels proposés par votre synaptic.

Je suis conscient que cela peut ne pas suffire, franchement, je me vois mal me passer des quelques applications que j'ai installées via ce principe, peut-être faudrait-il créer une structure fédératrice permettant à tous de contribuer, où seuls quelques uns désignés (via méritocratie) auraient la main et la charge de vérifier ce qui y est ajouté ? Ah flûte.. ça semble déjà exister...

Ce midi, en revenant de déjeuner, vers les 13h30, je traverse la place Saint-Augustin (vous savez celle qui a une belle église) devinez qui je croise rue de la Pépinière en train de manger une crêpe au nutella ?
Jackie Chan

Il était avec quelques jeunes (qui eux aussi mangeaient une crêpe) ; je dois dire que j'ai été surpris de croiser ainsi une star internationale du cinéma de kung fu.
Même s'il avait son air jovial et semblait pêter la forme, je dois avouer qu'il fait ses 52 ans.

PS: j'suis trop fort, 8 liens vers wikipedia