Quem constrói os pacotes Debian?

1

Estou interessado em quem constrói os pacotes principais do Debian para distribuição. Estou ciente de que os pacotes precisam ser reproduzíveis e não estou perguntando sobre nenhum indivíduo específico, mas o processo em geral (por exemplo, como a "confiança" estaria envolvida aqui e como ela é descentralizada).

No link , ele diz:

More generally, Mozilla trusts the Debian packagers to use their best judgment to achieve the same quality as the official Firefox binaries.

No link , ele diz:

Debian packages are maintained by a community of Debian Developers and volunteers.

Sou novo no Debian, então edite esta pergunta se for necessário.

    
por mYnDstrEAm 29.05.2017 / 11:18

2 respostas

3

É um pouco incerto o que você realmente quer saber, já que você parece ter encontrado bons recursos, mas vou tentar dar uma breve (e não precisa em cada detalhe) a descrição do processo e espero obter o direito partes incluídas (eu não trabalhei com isso nos próprios repositórios do Debian, mas em diferentes iterações de uma configuração no trabalho, que se tornaram cada vez maiores e mais automatizadas, ficando cada vez mais como - como eu entendo - o sistema Debian). Todo pacote (mantido) no Debian tem um desenvolvedor (ou uma equipe de desenvolvedores), que localmente (ou seja, em sua própria máquina toma o código-fonte upstream e faz alguns arquivos que detalham como um pacote Debian deve ser feito. Coleta isso em um pacote fonte, que ele assina com GPG e envia para um dos sistemas do Debian Se esse sistema puder verificar se o pacote fonte veio de um desenvolvedor (em virtude de ter uma assinatura válida), ele envia o pacote fonte para um host de compilação para cada arquitetura relevante.Esses pacotes, juntamente com quaisquer pacotes binários carregados diretamente pelo desenvolvedor, são carregados nos repositórios relevantes e distribuídos para espelhos, de onde você os transfere e instala.O host de compilação também assina a compilação pacotes (com alguma chave comum, obviamente não pode assinar coisas com chaves privadas dos desenvolvedores), e o repositório verifica essas assinaturas.

    
por 29.05.2017 / 12:22
2

O que eu sei, eu não sou um especialista ou insider, então leia os links no final.

Eu sei que os pacotes são criptograficamente assinados pelos empacotadores / desenvolvedores. Isso permite que seu sistema saiba de quem veio. Seu sistema tem a chave pública de todos os empacotadores / desenvolvedores Debian. Portanto, há um fim para a autenticação final entre o desenvolvedor e o usuário final.

As chaves do desenvolvedor são trocadas entre os desenvolvedores e, em seguida, adicionadas ao sistema, adicionando-as a um pacote de chaves do desenvolvedor.

Os desenvolvedores precisam mostrar o ID: passport etc para ser adicionado como desenvolvedor. Eles também precisam criar confiança. Veja a diferença entre o mantenedor e o desenvolvedor.

veja aqui para mais informações: link e link

    
por 29.05.2017 / 12:10