背景：AUR 遭遇恶意软件攻击

相信不少 Arch Linux 用户已经有所耳闻，AUR（Arch 用户软件仓库）近期经历了一场严峻的考验。在三波恶意软件攻击中，超过 1500 个软件包遭到污染，直至 Arch 开发者稳定局面才得以控制。

Yay v13 两大新功能助力安全

作为 Arch Linux 中最受欢迎的 AUR 助手，yay 刚刚发布了 v13.0.0 版本，旨在从用户层面应对这一危机。新版引入了两个关键特性，帮助你在安装前识别风险包，并可自主编写自动化审查流程。

一、PKGBUILD 最后修改时间戳

无论是搜索结果显示、yogurt 提示界面，还是升级菜单，现在都新增了一个时间戳，直观展示了该软件包 PKGBUILD 文件最后一次修改距今的时间。这为你在安装前判断是否需要仔细检查提供了额外线索。

但注意，时间戳本身并不代表绝对安全——修改时间较短的包未必危险，长期未更新的包也未必安全。yay 维护者 Jo Guerreiro 强调，这仅仅是一个辅助参考信号，帮助你权衡后再执行安装。

二、Lua 钩子系统与配置

v13 版本的另一项重大更新是支持基于 Lua 的钩子和配置。你只需在 $XDG_CONFIG_HOME/yay/init.lua（通常为 ~/.config/yay/init.lua）中编写 Lua 脚本，即可自定义 yay 在安装和升级流程中不同阶段的行为。

如果不放置该文件，则系统不会运行任何 Lua 相关代码。原有的 config.json 仍然生效，但 init.lua 会覆盖其设置；而命令行中传递的参数优先级最高，会覆盖一切配置。

新钩子详解

• UpgradeSelect： 在执行 yay -Syu 时，当 yay 已经确定需要升级的包列表、但尚未显示包选择排除界面时触发。
• AURPreInstall： 在获取 PKGBUILD 之后立即触发，可在任何菜单出现之前中止安装流程。
• AURPostDownload： 在 makepkg --verifysource 完成源码拉取和验证后触发，此时脚本可同时检查 PKGBUILD 和实际下载的文件，仍位于安装之前。
• 搜索过滤钩子： 用于过滤搜索结果。
• 安装完成钩子： 可在包安装完成后执行特定操作。

其他改进与安装方式

除上述功能外，v13 版本还包括一些清理工作，例如恢复缺失的区域设置文件，并为 ALPM 执行器新增了日志回调和 Debug 方法。

要在 Arch Linux 或基于 Arch 的系统上安装 yay，请通过 AUR 克隆并构建：

git clone https://aur.archlinux.org/yay.git
cd yay && makepkg -si

---

关注微信号：智享开源 ，及时了解更新信息。

原文链接：https://feed.itsfoss.com/link/24361/17363250/yay-v13-release

---

请支持IMCN发展！

谁在捐赠

微信捐赠	支付宝捐赠

扫码关注公众号：智享开源