O apt-get verifica automaticamente as assinaturas digitais?

Navegue suas respostas
4

Estou planejando executar um servidor de produção no Ubuntu LTS 8.04 e estou preocupado com a segurança dos pacotes que estou instalando. Eu quero ter certeza de que os pacotes baixados pelo apt-get não foram adulterados.

  1. Como vejo as assinaturas digitais associadas a um pacote no Ubuntu?
  2. O apt-get install, o apt-get update, o apt-get upgrade verifica automaticamente as assinaturas digitais durante o download, a instalação de pacotes ou eu preciso passar uma opção de linha de comando para essas verificações?
  3. Em quem confio quando instalo um pacote usando o apt-get install, supondo que o pacote faça parte da distribuição principal do ubuntu, estou confiando no canonical, no debian ou em um colaborador de código aberto?
por ams 29.12.2011 / 08:50

1 resposta

3

Você está confiando que canonical compilou o programa para que ele não tenha nenhuma adulteração que não seja evidente no código-fonte, e que eles verificaram a assinatura no código-fonte do desenvolvedor do Ubuntu que fez o upload, ou que o debian fez o o mesmo para o desenvolvedor debian que fez o upload, se o pacote veio do debian. Você está confiando no desenvolvedor que carregou o pacote fonte, que, é claro, não pode revisar completamente todo o código upstream, então você também está confiando em todos os contribuidores de código aberto do upstream.

    
por psusi 29.12.2011 / 17:26

Tags

Por que o VLC é minimizado durante a reprodução de vídeo ou áudio? Como faço para que o vídeo da Microsoft LifeCam NX-6000 funcione?