Sous Linux, il existe un package appelé "ubuntu-keyring" - il permet de vérifier que les packages téléchargés (à partir des référentiels officiels) sont bien ceux qui se trouvent sur le serveur.
Comment puis-je faire cela sous OpenBSD ? Comment puis-je vérifier que le package téléchargé (via pkg_add - depuis le dépôt officiel) est bien celui qui se trouve sur le serveur ?
MISE À JOUR :
est-ce que rsync est bon pour le travail ? ?
Réponse acceptée :
Les packages OpenBSD ne sont pas du tout « signés » par défaut.
Si vous utilisez OpenBSD dans un environnement commercial, laissez votre employeur acheter le CD de la version. Ensuite, vous obtiendrez la version OpenBSD avec des packages sur CD auxquels vous pouvez faire confiance 🙂
La meilleure façon, et si vous utilisez sérieusement OpenBSD, vous devriez l'avoir, est d'avoir un serveur de build. Synchronisez les ports OpenBSD à partir d'anoncvs - ici, vous faites confiance à l'empreinte digitale ssh qui est annoncée publiquement - puis créez vos propres ports et signez-les avec un certificat. Avec l'outil `dpb', cela devrait être encore plus facile.
Les packages OpenBSD sont d'un intérêt secondaire pour le projet dans son ensemble.