GNU/Linux >> Linux Esercitazione >  >> Ubuntu

I pacchetti Apt in Main e Universe sono sempre garantiti per essere creati dal sorgente da Ubuntu o Debian Mantainer?

Mi chiedo se Canonical (e/o Debian) fornisca una sorta di garanzia che tutti i pacchetti nei repository principali e dell'universo siano sempre creati da soli dal sorgente o verificati da loro (in caso di build riproducibili deterministiche o firmate) invece di includere solo binari compilati da altri (il che implica che devi anche fidarti di loro, per non fare qualcosa di losco o poco chiaro nel loro processo di compilazione, o usare qualcosa al di fuori del repository pubblico di origine diverso dalle chiavi private per la firma, ove applicabile).

Quali sono le politiche di Debian e Ubuntu su questo? Hanno pagine ufficiali o dichiarazioni su questo argomento? Mi aspetto che lo facciano almeno per il main, ma per quanto riguarda l'universo? Di chi mi sto "fidando" (per fornire ciò che affermano di aver compilato) quando installo qualcosa dall'universo? Solo Canonical/Debian o anche gli stessi autori?

Correlati:(alcune informazioni che ho trovato su build riproducibili, per lo più vecchie)

  • Ubuntu funzionerà con build riproducibili?
  • Le build di Ubuntu sono deterministiche? Perché no?
  • https://wiki.debian.org/ReproducibleBuilds/History#A2016_and_2017
  • https://isdebianreproducibleyet.com/
  • https://reproducible-builds.org/projects/#affiliated-projects

Risposta accettata:

I pacchetti in main e universe sono compilati nella build farm di launchpad, dal sorgente. Non è necessario chiedere la verifica perché puoi trovarlo tu stesso.

Ad esempio, al momento della scrittura della build più recente di bind caricato su Ubuntu 20.04 LTS (Focale) è 1:9.16.1-0ubuntu2.5. Puoi vederlo tramite la mailing list pubblica di focal-changes. In particolare questo post che si collega al launchpad dove puoi vedere i file di origine e le build e i registri di build per ogni architettura supportata. Ad esempio, la build amd64 per quella versione di quel pacchetto si trova qui con il registro di build qui.

Puoi ripetere questo processo per ogni pacchetto in ogni versione di Ubuntu.

Mentre ho menzionato main e universe, lo stesso vale per i pacchetti con restrizioni e multiverse, anch'essi basati su launchpad. Tuttavia possono contenere componenti non liberi, quindi non è garantito che vengano compilati "dal sorgente", ma esiste un pacchetto sorgente per ciascuno, anche se contiene alcuni componenti binari.

Correlati:Concedi a VirtualBox l'accesso solo a utenti specifici?
Ubuntu

  1. Come utilizzare APT con proxy su Ubuntu e Debian

  2. Installa i pacchetti RPM su Ubuntu 11.10 e Ubuntu 11.04

  3. Installa Node.js in Ubuntu e Debian

  4. Come eseguire l'aggiornamento a Ubuntu 22.04 LTS da Ubuntu 20.04 LTS e 21.10

  5. In che modo Ubuntu è diverso da Debian?

Come cancellare Apt Cache in Debian, Ubuntu e Linux Mint

Come elencare tutti i pacchetti aggiornabili in Ubuntu, Debian e Mint

Come eseguire l'aggiornamento a Ubuntu 16.04 da Ubuntu 14.04 e 15.10

Come rimuovere i pacchetti da Ubuntu e Debian

Installa e configura OwnCloud su Ubuntu 21 / Debian 11

Come installare e gestire i pacchetti RPM sul sistema Ubuntu/Debian