GNU/Linux >> Znalost Linux >  >> Ubuntu

Je u balíčků Apt v Main and Universe vždy zaručeno, že budou vytvořeny ze zdroje pomocí Ubuntu nebo Debian Mantainers?

Zajímalo by mě, zda Canonical (a/nebo Debian) poskytuje nějakou záruku, že všechny balíčky v hlavních a vesmírných repozitářích jsou vždy buď vytvořeny ze zdroje sami, nebo jimi ověřeny (v případě deterministických nebo podepsaných reprodukovatelných sestavení) na rozdíl od pouhého zahrnutí binárních souborů zkompilovaných jinými (což znamená, že jim musíte také důvěřovat, že v procesu kompilace nebudou dělat něco nejasného nebo nejasného nebo nepoužívat nic mimo veřejné zdroje úložiště jiné než soukromé klíče pro podepisování, kde je to vhodné).

Jaké jsou na to zásady Debianu a Ubuntu? Mají k této záležitosti nějaké oficiální stránky nebo prohlášení? Očekával bych, že to udělají alespoň pro hlavní, ale co vesmír? Komu „důvěřuji“ (poskytuji to, co tvrdí, že zkompilovali), když instaluji něco z vesmíru? Jen Canonical/Debian nebo také samotní autoři?

Související:(některé informace jsem našel o reprodukovatelných sestavách, většinou starých)

  • Bude Ubuntu fungovat s reprodukovatelnými sestaveními?
  • Jsou sestavení Ubuntu deterministické? Proč ne?
  • https://wiki.debian.org/ReproducibleBuilds/History#A2016_and_2017
  • https://isdebianreproducibleyet.com/
  • https://reproducible-builds.org/projects/#affiliated-projects

Přijatá odpověď:

Balíčky v main a univerzu jsou sestaveny na startovací farmě ze zdroje. O ověření toho nemusíte žádat, protože to můžete najít sami.

Například v době psaní nejnovějšího sestavení bind nahrané na Ubuntu 20.04 LTS (Focal) je 1:9.16.1-0ubuntu2.5. Můžete to vidět prostřednictvím veřejného mailing listu focal-changes. Konkrétně tento příspěvek, který odkazuje na launchpad, kde můžete vidět zdrojové soubory a sestavení a sestavit protokoly pro každou podporovanou architekturu. Například sestavení amd64 pro tuto verzi tohoto balíčku naleznete zde s protokolem sestavení zde.

Tento proces můžete opakovat pro každý balíček v každém vydání Ubuntu.

Zatímco jsem zmínil hlavní a vesmír, totéž platí pro omezené a multiverse balíčky, které jsou také postaveny na launchpadu. Mohou však obsahovat nesvobodné komponenty, takže není zaručeno, že budou sestaveny „ze zdroje“, ale pro každý existuje zdrojový balíček, i když obsahuje nějaké binární komponenty.

Související:Poskytnout VirtualBoxu přístup pouze konkrétním uživatelům?
Ubuntu

  1. Jak používat APT s proxy na Ubuntu a Debianu

  2. Nainstalujte balíčky RPM na Ubuntu 11.10 a Ubuntu 11.04

  3. Nainstalujte Node.js v Ubuntu a Debianu

  1. Jak upgradovat na Ubuntu 22.04 LTS z Ubuntu 20.04 LTS a 21.10

  2. Jak se Ubuntu liší od Debianu?

  3. Jak nainstalovat Ruby 2.0 a RubyGems 2.1.11 na Ubuntu 13.10 ze zdroje

  1. Jak opravit poškozené balíčky v Ubuntu

  2. Nainstalujte balíčky z Ubuntu PPA na Debian Linux

  3. Nainstalujte Oracle Java 13 na Ubuntu, Linux Mint nebo Debian z úložiště APT PPA