나는 배포용 데비안 메인 패키지를 누가 만드는지에 관심이 있습니다. 나는 패키지가 재현 가능하게 구축 가능해야 한다는 것을 알고 있으며 특정 개인에 대해 묻는 것이 아니라 일반적인 프로세스(예: "신뢰"가 여기에 어떻게 관련되고 그것이 얼마나 분산되어 있는지)에 대해 묻고 있습니다.
~에https://lwn.net/Articles/676799/그것은 말한다:
보다 일반적으로 Mozilla는 공식 Firefox 바이너리와 동일한 품질을 달성하기 위해 최선의 판단을 내리는 데비안 패키저를 신뢰합니다.
~에https://wiki.debian.org/Packaging그것은 말한다:
데비안 패키지는 데비안 개발자와 자원봉사자 커뮤니티에서 관리합니다.
저는 데비안을 처음 사용하므로 필요한 경우 이 질문을 편집하십시오.
답변1
제가 아는 바로는 내부자나 전문가가 아니므로 마지막에 있는 링크를 읽어보세요.
패키지 작성자/개발자가 패키지를 암호화하여 서명했다는 것을 알고 있습니다. 이를 통해 시스템은 해당 정보가 누구에게서 왔는지 알 수 있습니다. 여러분의 시스템에는 모든 데비안 패키저/개발자의 공개 키가 있습니다. 따라서 개발자와 최종 사용자 간에 엔드투엔드 인증이 이루어집니다.
개발자 키는 개발자 간에 교환된 다음 개발자 키 패키지에 추가하여 시스템에 추가됩니다.
개발자로 추가되려면 신분증(여권 등)을 제시해야 합니다. 또한 신뢰를 쌓아야 합니다. 관리자와 개발자의 차이점을 확인하세요.
자세한 내용은 여기를 참조하세요:https://wiki.debian.org/DebianDeveloper그리고https://wiki.debian.org/DebianMaintainer
답변2
좋은 리소스를 찾은 것 같기 때문에 실제로 알고 싶은 것이 무엇인지는 약간 불분명하지만 프로세스에 대한 간략한(모든 세부 사항이 정확하지는 않음) 설명을 제공하고 올바른 부분이 포함되기를 바랍니다. 나는 데비안 자체 저장소에서 이 작업을 수행한 적이 없지만 직장에서 설정을 여러 번 반복하면서 점점 더 커지고 자동화되어 점점 더 – 내가 이해하는 방식 – 데비안 시스템과 비슷해졌습니다. 데비안의 모든 (관리되는) 패키지에는 개발자(또는 개발자 팀)가 있으며, 개발자는 로컬에서(즉 자신의 컴퓨터에서 업스트림 소스 코드를 가져와 데비안 패키지를 만드는 방법을 자세히 설명하는 일부 파일을 만듭니다.) 이를 소스 패키지로 수집하고 GPG로 서명하고 데비안 시스템 중 하나에 업로드합니다. 해당 시스템이 소스 패키지가 개발자로부터 온 것인지 확인할 수 있으면(유효한 서명이 있기 때문에) 소스 패키지를 다음으로 보냅니다. 각 관련 아키텍처에 대한 빌드 호스트 개발자가 직접 업로드한 바이너리 패키지와 함께 해당 패키지는 관련 리포지토리에 업로드되고 미러에 배포되며, 여기에서 빌드 호스트도 빌드에 서명합니다. 패키지(일부 공통 키를 사용하면 분명히 개발자의 개인 키로 서명할 수 없음) 저장소가 해당 서명을 확인합니다.