Mich interessiert, wer die Debian-Hauptpakete für die Distribution erstellt. Mir ist bewusst, dass Pakete reproduzierbar erstellt werden müssen, und ich frage nicht nach bestimmten Personen, sondern nach dem Prozess im Allgemeinen (z. B. inwieweit hier „Vertrauen“ eine Rolle spielt und wie dezentralisiert er ist).
Beihttps://lwn.net/Articles/676799/es sagt:
Generell vertraut Mozilla darauf, dass die Debian-Paketierer nach bestem Wissen und Gewissen vorgehen, um die gleiche Qualität wie die offiziellen Firefox-Binärdateien zu erreichen.
Beihttps://wiki.debian.org/Packaginges sagt:
Debian-Pakete werden von einer Community aus Debian-Entwicklern und Freiwilligen gepflegt.
Ich bin neu bei Debian, also bearbeiten Sie diese Frage bitte, falls nötig.
Antwort1
Was ich weiß: Ich bin kein Insider oder Experte, lesen Sie also die Links am Ende.
Ich weiß, dass Pakete von den Paketierern/Entwicklern kryptografisch signiert werden. Dadurch weiß Ihr System, von wem es stammt. Ihr System verfügt über den öffentlichen Schlüssel jedes Debian-Paketierers/Entwicklers. Daher gibt es eine End-to-End-Authentifizierung zwischen Entwickler und Endbenutzer.
Entwicklerschlüssel werden zwischen Entwicklern ausgetauscht und dann dem System hinzugefügt, indem sie einem Entwicklerschlüsselpaket hinzugefügt werden.
Entwickler müssen einen Ausweis vorlegen: Reisepass usw., um als Entwickler hinzugefügt zu werden. Sie müssen auch Vertrauen aufbauen. Siehe Unterschied zwischen Betreuer und Entwickler.
Weitere Informationen finden Sie hier:https://wiki.debian.org/DebianDeveloperUndhttps://wiki.debian.org/DebianMaintainer
Antwort2
Es ist ein wenig unklar, was Sie wirklich wissen möchten, da Sie anscheinend gute Ressourcen gefunden haben, aber ich werde versuchen, eine kurze (und nicht in jedem Detail genaue) Beschreibung des Prozesses zu geben und hoffe, dass ich die richtigen Teile einbeziehe (ich habe damit nicht in Debians eigenen Repositories gearbeitet, sondern in verschiedenen Iterationen eines Setups bei der Arbeit, das immer größer und automatisierter wurde und – soweit ich es verstehe – immer mehr dem System von Debian ähnelte). Jedes (gepflegte) Paket in Debian hat einen Entwickler (oder ein Entwicklerteam), der lokal (d. h. auf seiner/seinen eigenen Maschine(n)) den Upstream-Quellcode nimmt und einige Dateien erstellt, die detailliert beschreiben, wie ein Debian-Paket erstellt werden soll. Dann fasst er diese in einem Quellpaket zusammen, das er mit GPG signiert und auf eines der Debian-Systeme hochlädt. Wenn dieses System überprüfen kann, dass das Quellpaket von einem Entwickler stammt (aufgrund einer gültigen Signatur), sendet es das Quellpaket an einen Build-Host für jede relevante Architektur. Diese Pakete werden dann zusammen mit allen direkt vom Entwickler hochgeladenen Binärpaketen in die entsprechenden Repositories hochgeladen und an Mirrors verteilt, von wo Sie sie herunterladen und installieren. Der Build-Host signiert auch die Build-Pakete (mit einem gemeinsamen Schlüssel, er kann offensichtlich keine Sachen mit den privaten Schlüsseln der Entwickler signieren) und das Repository überprüft diese Signaturen.