嘿，作为刚把Ubuntu当主力系统的新手，你的顾虑完全正常——毕竟谁都不想装到不安全的软件对吧？我来一步步给你拆解怎么验证APT包的可信度，还有关于源的那些事儿：

• 先放心：默认APT源的安全性有保障
  你朋友说的没错，Ubuntu自带的官方APT源（包括main、universe这些组件）是由Canonical团队和社区共同维护审核的。APT本身会自动验证每个软件包的GPG签名，确保包在传输过程中没被篡改，而且来源是官方认可的。只要你没乱加第三方源，从默认源装的包基本都可以放心。

• 用APT命令查看包的来源与细节
  如果你想确认某个已安装或待安装的包是否靠谱，可以用这些实用命令：

  • 查看包的详细信息（包括来源、维护者、项目背景等）：apt show <包名>，比如你装的onedrive，运行apt show onedrive后，Origin字段会显示来源（比如Ubuntu就代表官方源），Maintainer是维护者信息，从这些内容能直观判断是不是正规渠道的包。
  • 查看包的来源优先级和可用版本：apt policy <包名>，这个命令能清晰看到包是从哪个源获取的，避免不小心装到第三方源的未知版本。

• 关于第三方源：谨慎添加，必验密钥
  如果你确实需要装默认源里没有的软件，不得不加第三方源的话，一定要做这两步：

  1. 确认这个源是软件开发者官方发布的，而非不知名的第三方镜像；
  2. 必须导入对应源的GPG密钥，APT会通过密钥验证后续下载的包是否被篡改。千万不要跳过密钥验证这一步，否则很容易中招。

• 针对你遇到的OneDrive包情况
  你后来发现abraunegg的OneDrive是验证过的，而且这个包是从默认APT源安装的——这就更不用担心了！能被Ubuntu官方源收录的第三方软件，都经过了社区的严格审核，加上大量用户的好评，安全性和可靠性都有保障。

总结一下：保持默认APT源的纯净是最稳妥的安全策略，真要扩展源一定要做足功课，用APT自带的命令查清楚包的来源和维护信息，就能基本判断软件的可信度啦。

备注：内容来源于stack exchange，提问作者Cade Bray