Mi chiedo se Canonical (e/o Debian) fornisca una sorta di garanzia che tutti i pacchetti nei repository principali e dell'universo siano sempre creati da soli dal sorgente o verificati da loro (in caso di build riproducibili deterministiche o firmate) invece di includere solo binari compilati da altri (il che implica che devi anche fidarti di loro, per non fare qualcosa di losco o poco chiaro nel loro processo di compilazione, o usare qualcosa al di fuori del repository pubblico di origine diverso dalle chiavi private per la firma, ove applicabile).
Quali sono le politiche di Debian e Ubuntu su questo? Hanno pagine ufficiali o dichiarazioni su questo argomento? Mi aspetto che lo facciano almeno per il main, ma per quanto riguarda l'universo? Di chi mi sto "fidando" (per fornire ciò che affermano di aver compilato) quando installo qualcosa dall'universo? Solo Canonical/Debian o anche gli stessi autori?
Correlati:(alcune informazioni che ho trovato su build riproducibili, per lo più vecchie)
- Ubuntu funzionerà con build riproducibili?
- Le build di Ubuntu sono deterministiche? Perché no?
- https://wiki.debian.org/ReproducibleBuilds/History#A2016_and_2017
- https://isdebianreproducibleyet.com/
- https://reproducible-builds.org/projects/#affiliated-projects
Risposta accettata:
I pacchetti in main e universe sono compilati nella build farm di launchpad, dal sorgente. Non è necessario chiedere la verifica perché puoi trovarlo tu stesso.
Ad esempio, al momento della scrittura della build più recente di bind
caricato su Ubuntu 20.04 LTS (Focale) è 1:9.16.1-0ubuntu2.5. Puoi vederlo tramite la mailing list pubblica di focal-changes. In particolare questo post che si collega al launchpad dove puoi vedere i file di origine e le build e i registri di build per ogni architettura supportata. Ad esempio, la build amd64 per quella versione di quel pacchetto si trova qui con il registro di build qui.
Puoi ripetere questo processo per ogni pacchetto in ogni versione di Ubuntu.
Mentre ho menzionato main e universe, lo stesso vale per i pacchetti con restrizioni e multiverse, anch'essi basati su launchpad. Tuttavia possono contenere componenti non liberi, quindi non è garantito che vengano compilati "dal sorgente", ma esiste un pacchetto sorgente per ciascuno, anche se contiene alcuni componenti binari.
Correlati:Concedi a VirtualBox l'accesso solo a utenti specifici?