GNU/Linux >> Tutoriels Linux >  >> Ubuntu

Les packages Apt dans Main et Universe sont-ils toujours garantis d'être construits à partir de la source par Ubuntu ou Debian Mantainers?

Je me demande si Canonical (et/ou Debian) fournit une sorte de garantie que tous les packages des dépôts principaux et universels sont toujours soit construits à partir de la source par eux-mêmes, soit vérifiés par eux (en cas de constructions reproductibles déterministes ou signées) par opposition à la simple inclusion de binaires compilés par d'autres (ce qui implique que vous devez également leur faire confiance pour ne pas faire quelque chose de louche ou de peu clair sur leur processus de compilation, ou utiliser quoi que ce soit en dehors du référentiel source public autre que les clés privées pour la signature, le cas échéant).

Quelles sont les politiques de Debian et Ubuntu à ce sujet ? Ont-ils des pages ou des déclarations officielles à ce sujet ? Je m'attendrais à ce qu'ils le fassent au moins pour le principal, mais qu'en est-il de l'univers? À qui est-ce que je « fais confiance » (pour fournir ce qu'ils prétendent avoir compilé) lorsque j'installe quelque chose de l'univers ? Juste Canonical/Debian ou aussi les auteurs eux-mêmes ?

Connexe :(quelques informations que j'ai trouvées sur les versions reproductibles, pour la plupart anciennes)

  • Ubuntu fonctionnera-t-il avec des versions reproductibles ?
  • Les versions d'Ubuntu sont-elles déterministes ? Pourquoi pas ?
  • https://wiki.debian.org/ReproducibleBuilds/History#A2016_and_2017
  • https://isdebianreproductibleyet.com/
  • https://reproductible-builds.org/projects/#affiliated-projects

Réponse acceptée :

Les packages de main et d'univers sont construits dans la ferme de construction du tableau de bord, à partir de la source. Vous n'avez pas besoin de demander de vérification car vous pouvez le trouver vous-même.

Par exemple, au moment de la rédaction de la version la plus récente de bind téléchargé sur Ubuntu 20.04 LTS (Focal) est 1:9.16.1-0ubuntu2.5. Vous pouvez le voir via la liste de diffusion publique focal-changes. Plus précisément, ce message qui renvoie au tableau de bord où vous pouvez voir les fichiers source et les builds, ainsi que les journaux de build pour chaque architecture prise en charge. Par exemple, la construction amd64 pour cette version de ce package se trouve ici avec le journal de construction ici.

Vous pouvez répéter ce processus pour chaque paquet dans chaque version d'Ubuntu.

Alors que j'ai mentionné principal et univers, il en va de même pour les packages restreints et multivers, qui sont également construits sur le tableau de bord. Cependant, ils peuvent contenir des composants non libres, il n'est donc pas garanti qu'ils soient construits "à partir des sources", mais il existe un paquet source pour chacun, même s'il contient des composants binaires.

Connexe :Accorder l'accès à VirtualBox à des utilisateurs spécifiques uniquement ?
Ubuntu

  1. Comment utiliser APT avec Proxy sur Ubuntu et Debian

  2. Installer les packages RPM sur Ubuntu 11.10 et Ubuntu 11.04

  3. Installer Node.js dans Ubuntu et Debian

  4. En quoi Ubuntu est-il différent de Debian ?

  5. Comment installer Ruby 2.0 et RubyGems 2.1.11 sur Ubuntu 13.10 à partir de la source

Comment effacer le cache Apt dans Debian, Ubuntu et Linux Mint

Comment répertorier tous les packages pouvant être mis à niveau dans Ubuntu, Debian et Mint

Comment mettre à niveau vers Ubuntu 16.04 à partir d'Ubuntu 14.04 et 15.10

Comment supprimer des packages d'Ubuntu et de Debian

Installer et configurer OwnCloud sur Ubuntu 21 / Debian 11

Comment installer et gérer les packages RPM sur le système Ubuntu/Debian