Diciamo che esiste un'applicazione open source con binari disponibili in .tar.xz formato, ma non come .deb pacchetto. E c'è un .deb pacchetto nel repository SW Debian apparentemente creato dalla comunità Debian.
Dato che mi fido dell'applicazione stessa, posso anche fidarmi della sua versione nel repository Debian? Il team Debian afferma di "prendere molto sul serio la sicurezza". Tuttavia, come appare in pratica? Posso essere sicuro che il team di sicurezza esamini tutti i pacchetti inviati e verifichi che il codice non sia stato alterato prima di essere imballato? Oppure reagiscono (ad es. rimuovono il pacchetto dal repository) solo in caso di incidente?
(Per anticipare una domanda:è utile utilizzare .deb pacchetto, perché semplifica l'aggiornamento e la manutenzione generale).
Risposta accettata:
Il Debian Security Team non esamina tutti i pacchetti prima del caricamento perché sono un piccolo gruppo di volontari e ci sono oltre 67.000 pacchetti nell'archivio. Non sono a conoscenza di nessun'altra distribuzione Linux (o altro grande progetto o distributore) che abbia una procedura del genere.
Tuttavia, i demoni di build Debian compilano ogni pacchetto dal suo sorgente, quindi puoi scaricare il pacchetto sorgente (con apt-get source PACKAGENAME ) e verifica che il tarball e le patch siano come ti aspetti. Tutti i pacchetti sorgente sono firmati crittograficamente, così come l'archivio, quindi puoi essere sicuro che i pacchetti non siano stati modificati dal sorgente che è stato caricato.
Debian ha anche un'iniziativa per costruire tutti i pacchetti in modo riproducibile in modo da poter produrre un pacchetto identico bit per bit da solo e verificare che nulla sia stato manomesso. C'è un elenco di pacchetti che creano e non vengono compilati in modo riproducibile.
In generale, Debian è ampiamente considerata una fonte affidabile di binari e numerose grandi organizzazioni la usano, anche se ovviamente devi prendere la tua decisione. Se hai davvero bisogno di controllare ogni pacchetto binario e binario, dovrai gestirlo tu stesso, dal momento che non sono sicuro che nessun distributore di sistemi operativi di qualsiasi dimensione fornisca quel servizio.