Řekněme, že existuje open-source aplikace s binárními soubory dostupnými v .tar.xz formát, ale ne jako .deb balík. A existuje .deb balíček v úložišti SW Debianu zřejmě vytvořený komunitou Debianu.
Vzhledem k tomu, že důvěřuji samotné aplikaci, mohu věřit i její verzi v úložišti Debianu? Tým Debianu tvrdí, že „bere zabezpečení velmi vážně“. Jak to ale vypadá v praxi? Mohu si být jistý, že bezpečnostní tým zkontroluje všechny odeslané balíčky a ověří, že kód nebyl před zabalením změněn? Nebo reagují (např. odeberou balíček z repozitáře) pouze na incident?
(Pro předvídání otázky:je výhodné použít .deb balíček, protože zjednodušuje aktualizaci a celkovou údržbu).
Přijatá odpověď:
Bezpečnostní tým Debianu nekontroluje všechny balíčky před odesláním, protože je to malá skupina dobrovolníků a v archivu je přes 67 000 balíčků. Nejsem si vědom žádné jiné distribuce Linuxu (nebo jiného významného projektu nebo distributora), která by měla takový postup.
Debian build démoni však sestavují každý balíček z jeho zdroje, takže si můžete stáhnout zdrojový balíček (pomocí apt-get source PACKAGENAME ) a ověřte, že tarball a záplaty jsou takové, jaké očekáváte. Všechny zdrojové balíčky jsou kryptograficky podepsány, stejně jako archiv, takže si můžete být jisti, že balíčky nebyly změněny ze zdroje, který byl nahrán.
Debian má také iniciativu vytvářet všechny balíčky reprodukovatelně, abyste mohli sami vytvořit bit po bitu identický balíček a ověřit, že s ničím nebylo manipulováno. Existuje seznam balíčků, které se sestavují a neskládají reprodukovatelně.
Obecně je Debian široce považován za důvěryhodný zdroj binárních souborů a používá jej mnoho velkých organizací, i když se samozřejmě musíte rozhodnout sami. Pokud opravdu potřebujete auditovat každý binární a binární balíček, budete to muset spravovat sami, protože si nejsem jistý, zda tuto službu poskytuje jakýkoli distributor OS jakékoli velikosti.