Erre nagyon egyszerű a megoldás: nem kell overlayeket használni, vagy legalábbis ismeretlen overlayeket, amikben nem bízol.
Igaz, hogy a külső Gentoo overlayek kockázatosabbak lehetnek, mint az AUR. Ezeket gyakran nem auditálják, nem mindenhol van GPG aláírás, és a maintainer is lehet akárki. Gyakori forrásuk: layman, eselect repository, vagy manuális repos.conf alapján hozzáadott Git repók. Valóban lehet „random ember random git repója”, amit nehéz központilag nyomon követni.
Előfordulhat Silány minőségű ebuild; Kártékony kód (pl. src_prepare() szkriptbe rejtve); Rosszindulatú változtatás (akár nem is feltűnő)
Ez tehát valós kockázat. Aki overlayeket használ, annak nagyobb figyelmet kell fordítania az auditálásra.
De! Ez nem a Gentoo hivatalos modellje, hanem opcionális kiegészítés. A Gentoo hivatalos Portage repoja (::gentoo) nem tartalmaz ilyen kockázatot.
Ellenőrzött ebuildek
GPG aláírt Git repó
Jóváhagyott karbantartók
Hash-ellenőrzött distfile-ok
Az AUR-nál minden egyes csomag kvázi egy külön overlay, amit bárki feltölthet.
Gentoo alatt a hivatalos Portage biztonságosabb, mint az AUR egész modellje. Miért?
A Portage csomagok nem tartalmaznak előre lefordított binárisokat. A Gentoo mindent forrásból fordít, így nem lehet csendben becsempészni egy rosszindulatú előre fordított binárist, mint az *-bin AUR csomagoknál.
A csomagdefiníciókat (ebuild fájlokat) hivatalos karbantartók kezelik. Ezek git alapon tárolva, és digitálisan alá vannak írva GPG-vel.
Ez komoly védelmet nyújt a PKGBUILD-szerű manipulációk ellen.
A distfile-ek ellenőrzőösszegekkel védettek. Minden letöltött forráshoz tartozik sha256, sha512, stb, amit a Portage ellenőriz.
Ha a forrás megváltozik, a hash mismatch miatt a telepítés megszakad.
A Gentoo közösség nagyon konzervatívan és lassabban fogad be új csomagokat. A változtatásokat átnézik, reviewozzák, mielőtt bekerülne.