Microsoft Repository landet ungefragt in Raspberry Pi OS

Mi, 10. Februar 2021, Ralf Hersel

Mit einem Update hat die Raspberry Pi Foundation ein Microsoft apt-Repository auf allen Rechnern installiert, auf denen Raspberry Pi OS (früher bekannt als Raspbian) läuft. Damit soll die Microsoft-IDE 'Visual Studio Code' den Anwendern zur Verfügung gestellt werden, was derzeit für lebhafte Diskussionen unter den Nutzern führt.

Dadurch wird jedes Mal, wenn man ein 'apt update' auf dem Raspberry Pi ausführt, ein Microsoft Server aufgerufen. Hinzu kommt ein GPG-Schlüssel von Microsoft, der zum Signieren von Paketen aus diesem Repository verwendet wird. Dies kann möglicherweise dazu führen, dass ein Update eine Abhängigkeit von Microsofts Repository zieht und dieses Paket automatisch vom System als vertrauenswürdig eingestuft wird.

Die Dateien 'vscode.list' und 'microsoft.gpg' werden von einem Nachinstallationsskript für ein Paket namens 'raspberrypi-sys-mods' erstellt, das sich im Repository der Raspberry Pi Foundation befindet. Die Entwickler haben das Repository heimlich hinzugefügt. Die Installation erfolgt über das Paket 'raspberrypi-sys-mods' dergestalt, dass bei einem Update dieses Pakets Änderungen an den Paketquellen wieder zurückgenommen werden. Wer das Microsoft-Repository manuell deaktiviert, erhält es nach einem Update wieder zurück.

Der Gründer der Raspberry Pi Foundation, Eben Upton, zeigte auf die Frage, warum man die Integration des Repositories nicht vorher angekündigt hat, auf Twitter wenig Verständnis:

Sorry: Ich kann nicht verstehen, warum Sie denken, dass dieses Vorgehen kontrovers war. Wir machen solche Dinge die ganze Zeit, ohne einen Blogbeitrag darüber zu veröffentlichen, wie man sich abmelden kann.

Eine Diskussion über dieses Thema im Raspberry Pi-Forum wurde abgeklemmt, worauf sich diese auf Reddit verlagerte.

Quelle: https://www.reddit.com/r/linux/comments/lbu0t1/microsoft_repo_installed_on_all_raspberry_pis/