Estoy interesado en quién crea los paquetes principales de Debian para su distribución. Soy consciente de que los paquetes deben poder construirse de forma reproducible y no estoy preguntando sobre ninguna persona específica sino sobre el proceso en general (por ejemplo, cómo estaría involucrada la "confianza" aquí y qué tan descentralizada está).
Enhttps://lwn.net/Articles/676799/dice:
En términos más generales, Mozilla confía en que los empaquetadores de Debian utilizarán su mejor criterio para lograr la misma calidad que los binarios oficiales de Firefox.
Enhttps://wiki.debian.org/Packagingdice:
Los paquetes de Debian son mantenidos por una comunidad de desarrolladores y voluntarios de Debian.
Soy nuevo en Debian, así que edite esta pregunta si es necesario.
Respuesta1
Lo que sé es que no soy un experto ni un experto, así que lea los enlaces al final.
Sé que los paquetes están firmados criptográficamente por el empaquetador/desarrollador. Esto le permite a su sistema saber de quién proviene. Su sistema tiene la clave pública de cada empaquetador/desarrollador de Debian. Por lo tanto, existe una autenticación de extremo a extremo entre el desarrollador y el usuario final.
Las claves de desarrollador se intercambian entre desarrolladores y luego se agregan al sistema, agregándolas a un paquete de claves de desarrollador.
Los desarrolladores deben mostrar una identificación: pasaporte, etc. para ser agregados como desarrolladores. También tienen que generar confianza. Vea la diferencia entre mantenedor y desarrollador.
vea aqui para mas informacion:https://wiki.debian.org/DebianDeveloperyhttps://wiki.debian.org/DebianMaintainer
Respuesta2
No está un poco claro lo que realmente quieres saber, ya que parece que has encontrado buenos recursos, pero intentaré dar una descripción breve (y no precisa en todos los detalles) del proceso y espero incluir las piezas correctas ( No he trabajado con esto en los propios repositorios de Debian, sino en diferentes iteraciones de una configuración en funcionamiento, que se hizo cada vez más grande y más automatizada y se parecía cada vez más (según tengo entendido) al sistema de Debian). Cada paquete (mantenido) en Debian tiene un desarrollador (o un equipo de desarrolladores), quien localmente (es decir, en su(s) propia(s) máquina(s) toma el código fuente ascendente y crea algunos archivos que detallan cómo se debe crear un paquete Debian. Luego lo recopila en un paquete fuente, que firma con GPG y lo carga en uno de los sistemas Debian. Si ese sistema puede verificar que el paquete fuente proviene de un desarrollador (en virtud de tener una firma válida), luego envía el paquete fuente a. un host de compilación para cada arquitectura relevante. Esos paquetes, junto con los paquetes binarios cargados directamente por el desarrollador, se cargan en los repositorios correspondientes y se distribuyen en espejos, desde donde los descarga e instala. El host de compilación también firma la compilación. paquetes (con alguna clave común, obviamente no puede firmar cosas con las claves privadas de los desarrolladores), y el repositorio verifica esas firmas.