Debianでuvを安全にインストールする方法

Debianでuvを安全にインストールする方法

uv便利ですよね。自分も便利に使ってます。さて、Debianで安全にuvをインストールするには、下のようにpipx経由でインストールする方法がよいです。たぶん、Ubuntuでも使えると思います。

sudo apt install pipx python3-all python-is-python3  # pipxとそれに必要なDebianパッケージをインストール
pipx ensurepath  # ~/.bashrcにpipxのパス(~/.local/bin/)を追加する
source ~/.bashrc  # パスの再読み込み
pipx install uv # uvをインストール

uvのパッケージは、残念ながらDebian 13 Trxieには間に合わなかったので、しばらくはこの方法でインストールすることになると思います。

余談:これを書いておく理由

ここからは蛇足の与太話です。そして、uvに限った話ではありません。

uvの記事を見ていると、公式がcurlでインストールスクリプトを取ってきてshにパイプで流し込むインストール方法を書いているので、それを勧めている方が多いです。この方法は、ネット上から持ってきたスクリプトを何も考えず実行するので危険です。

こういうことを書くと「uvのインストールは、ユーザー権限で動かすから大丈夫だ！」という人がいます。確かにユーザーで実行ならシステムは破壊しませんが、ホームディレクトリには自分のファイルを置いていますよね? それらのファイルを全消しされても大丈夫ですか?

動かすためだけの環境でホームディレクトリが空っぽなら被害は少ないと思いますが、普段使っている環境なら自分のファイルが全部消えて目も当てられなくなりますよ。

パッケージは改ざんチェックをしていたりしますが、curlとshではそういうチェックもないですし、何も考えず実行するのは止めて、なるべくパッケージ経由を使うようにしましょうねとオッサンは思いました。

余談その2: curl | bashは信頼の特権なのか?

この余談を書いた後、Hacker Newsを見ていたら、タイムリーなOSIフォーラムの記事が流れてきました。

大きなオープンソースプロジェクトでは、curl | bashの危険なインストール方法が常態化して許されてるけど、それってどうなのよ? GitHubでホスティングされてるから大丈夫とか、それって何も意味ないよね?と問いかける投稿です。

• curl | bash: Trust as a privilege? - General - OSI Discuss: https://discuss.opensource.org/t/curl-bash-trust-as-a-privilege/1011
• curl – bash: Trust as a privilege? Fork the system | Hacker News: https://news.ycombinator.com/item?id=43740349

やっぱり自分みたいに思う人は、いるよねー。