私は、配布用の Debian メイン パッケージを誰が構築しているかに興味があります。パッケージは再現可能に構築可能である必要があることは承知しており、特定の個人についてではなく、プロセス全般について尋ねています (たとえば、ここでは「信頼」がどのように関与し、どの程度分散化されているかなど)。
でhttps://lwn.net/Articles/676799/それはこう言います:
より一般的には、Mozilla は Debian パッケージ作成者が最善の判断を下して公式 Firefox バイナリと同じ品質を達成することを信頼しています。
でhttps://wiki.debian.org/パッケージそれはこう言います:
Debian パッケージは、Debian 開発者とボランティアのコミュニティによって管理されています。
私は Debian 初心者なので、必要であればこの質問を編集してください。
答え1
私が知っていること、それは内部者でも専門家でもないので、最後のリンクを読んでください。
パッケージはパッケージ作成者/開発者によって暗号的に署名されているとわかっています。これにより、システムはパッケージの送信元を知ることができます。システムには、すべての Debian パッケージ作成者/開発者の公開鍵があります。したがって、開発者とエンド ユーザーの間にはエンドツーエンドの認証が存在します。
開発者キーは開発者間で交換され、開発者キー パッケージに追加されることによってシステムに追加されます。
開発者として追加されるには、開発者は ID (パスポートなど) を提示する必要があります。また、信頼関係を築く必要もあります。メンテナーと開発者の違いを参照してください。
詳細についてはこちらをご覧ください:https://wiki.debian.org/DebianDeveloperそしてhttps://wiki.debian.org/Debian メンテナンス
答え2
良いリソースを見つけたようなので、あなたが本当に知りたいことが少し不明瞭ですが、プロセスについて簡単に(すべての詳細が正確というわけではありませんが)説明し、適切な部分を含められるように努めます(私は Debian の独自のリポジトリでこれに取り組んだことはありませんが、職場でのセットアップのさまざまな反復で、それがどんどん大きく、自動化されていき、私の理解では Debian のシステムにどんどん似てきました)。 Debian のすべての (メンテナンスされている) パッケージには、開発者 (または開発者チーム) がいて、ローカル (つまり自分のマシン) でアップストリームのソースコードを取得し、Debian パッケージの作成方法を詳述したファイルを作成します。次に、それをソースパッケージに収集し、GPG で署名して Debian のシステムの 1 つにアップロードします。そのシステムが、ソースパッケージが開発者からのものであることを検証できる場合 (有効な署名があることによって)、ソースパッケージを各関連アーキテクチャのビルドホストに送信します。それらのパッケージは、開発者が直接アップロードしたバイナリパッケージとともに、関連リポジトリにアップロードされ、ミラーに配布され、そこからダウンロードしてインストールします。ビルドホストはビルドパッケージにも署名し (共通キーを使用。当然、開発者の秘密キーで署名することはできません)、リポジトリがその署名を検証します。