Zajímalo by mě, zda Canonical (a/nebo Debian) poskytuje nějakou záruku, že všechny balíčky v hlavních a vesmírných repozitářích jsou vždy buď vytvořeny ze zdroje sami, nebo jimi ověřeny (v případě deterministických nebo podepsaných reprodukovatelných sestavení) na rozdíl od pouhého zahrnutí binárních souborů zkompilovaných jinými (což znamená, že jim musíte také důvěřovat, že v procesu kompilace nebudou dělat něco nejasného nebo nejasného nebo nepoužívat nic mimo veřejné zdroje úložiště jiné než soukromé klíče pro podepisování, kde je to vhodné).
Jaké jsou na to zásady Debianu a Ubuntu? Mají k této záležitosti nějaké oficiální stránky nebo prohlášení? Očekával bych, že to udělají alespoň pro hlavní, ale co vesmír? Komu „důvěřuji“ (poskytuji to, co tvrdí, že zkompilovali), když instaluji něco z vesmíru? Jen Canonical/Debian nebo také samotní autoři?
Související:(některé informace jsem našel o reprodukovatelných sestavách, většinou starých)
- Bude Ubuntu fungovat s reprodukovatelnými sestaveními?
- Jsou sestavení Ubuntu deterministické? Proč ne?
- https://wiki.debian.org/ReproducibleBuilds/History#A2016_and_2017
- https://isdebianreproducibleyet.com/
- https://reproducible-builds.org/projects/#affiliated-projects
Přijatá odpověď:
Balíčky v main a univerzu jsou sestaveny na startovací farmě ze zdroje. O ověření toho nemusíte žádat, protože to můžete najít sami.
Například v době psaní nejnovějšího sestavení bind
nahrané na Ubuntu 20.04 LTS (Focal) je 1:9.16.1-0ubuntu2.5. Můžete to vidět prostřednictvím veřejného mailing listu focal-changes. Konkrétně tento příspěvek, který odkazuje na launchpad, kde můžete vidět zdrojové soubory a sestavení a sestavit protokoly pro každou podporovanou architekturu. Například sestavení amd64 pro tuto verzi tohoto balíčku naleznete zde s protokolem sestavení zde.
Tento proces můžete opakovat pro každý balíček v každém vydání Ubuntu.
Zatímco jsem zmínil hlavní a vesmír, totéž platí pro omezené a multiverse balíčky, které jsou také postaveny na launchpadu. Mohou však obsahovat nesvobodné komponenty, takže není zaručeno, že budou sestaveny „ze zdroje“, ale pro každý existuje zdrojový balíček, i když obsahuje nějaké binární komponenty.
Související:Poskytnout VirtualBoxu přístup pouze konkrétním uživatelům?