Ich frage mich, ob Canonical (und/oder Debian) irgendeine Garantie dafür geben, dass alle Pakete in Haupt- und Universums-Repositorys immer entweder selbst aus den Quellen erstellt oder von ihnen verifiziert werden (im Falle von deterministischen oder signierten reproduzierbaren Builds) im Gegensatz dazu, nur Binärdateien einzuschließen, die von anderen kompiliert wurden (was bedeutet, dass Sie ihnen auch vertrauen müssen, dass sie bei ihrem Kompilierungsprozess nichts Zwielichtiges oder Unklares tun oder etwas außerhalb der Repository aus öffentlichen Quellen außer privaten Schlüsseln zum Signieren, sofern zutreffend).
Welche Richtlinien verfolgen Debian und Ubuntu diesbezüglich? Haben sie offizielle Seiten oder Erklärungen zu diesem Thema? Ich würde erwarten, dass sie es zumindest für die Hauptsache tun, aber was ist mit dem Universum? Wem „vertraue“ ich (das bereitzustellen, was sie angeblich kompiliert haben), wenn ich etwas aus dem Universum installiere? Nur Canonical/Debian oder auch die Autoren selbst?
Verwandte:(einige Informationen, die ich zu reproduzierbaren Builds gefunden habe, meistens alt)
- Wird Ubuntu mit reproduzierbaren Builds funktionieren?
- Sind Ubuntu-Builds deterministisch? Warum nicht?
- https://wiki.debian.org/ReproducibleBuilds/History#A2016_and_2017
- https://isdebianreproducibleyet.com/
- https://reproducible-builds.org/projects/#affiliated-projects
Akzeptierte Antwort:
Pakete in main und universe werden in der Launchpad-Build-Farm aus der Quelle erstellt. Sie müssen dies nicht bestätigen, da Sie es selbst finden können.
Beispielsweise zum Zeitpunkt des Schreibens des neuesten Builds von bind hochgeladen auf Ubuntu 20.04 LTS (Focal) ist 1:9.16.1-0ubuntu2.5. Sie können dies über die öffentliche Mailingliste von Focal-Changes einsehen. Insbesondere dieser Beitrag, der auf das Launchpad verweist, wo Sie die Quelldateien und Builds sowie Build-Protokolle für jede unterstützte Architektur sehen können. Zum Beispiel ist der amd64-Build für diese Version dieses Pakets hier mit dem Build-Log hier zu finden.
Sie können diesen Vorgang für jedes Paket in jeder Version von Ubuntu wiederholen.
Während ich main und universe erwähnt habe, gilt das Gleiche für eingeschränkte und multiverse Pakete, die ebenfalls auf Launchpad basieren. Sie können jedoch unfreie Komponenten enthalten, sodass nicht garantiert wird, dass sie „aus dem Quellcode“ erstellt wurden, aber es gibt für jedes ein Quellpaket, selbst wenn es einige binäre Komponenten enthält.
Siehe auch:VirtualBox nur bestimmten Benutzern Zugriff gewähren?