Estou interessado em quem constrói os principais pacotes do Debian para distribuição. Estou ciente de que os pacotes precisam ser reproduzíveis e não estou perguntando sobre nenhum indivíduo específico, mas sobre o processo em geral (por exemplo, como a "confiança" estaria envolvida aqui e quão descentralizada ela é).
Nohttps://lwn.net/Articles/676799/diz:
De forma mais geral, a Mozilla confia que os empacotadores Debian usarão seu melhor julgamento para alcançar a mesma qualidade que os binários oficiais do Firefox.
Nohttps://wiki.debian.org/Packagingdiz:
Os pacotes Debian são mantidos por uma comunidade de desenvolvedores Debian e voluntários.
Sou novo no Debian, então edite esta pergunta se for necessário.
Responder1
Pelo que eu sei, não sou um insider ou especialista, então leia os links no final.
Eu sei que os pacotes são assinados criptograficamente pelos empacotadores/desenvolvedores. Isso permite que seu sistema saiba de quem veio. Seu sistema possui a chave pública de cada empacotador/desenvolvedor Debian. Portanto, há autenticação ponta a ponta entre o desenvolvedor e o usuário final.
As chaves do desenvolvedor são trocadas entre os desenvolvedores e depois adicionadas ao sistema, adicionando-as a um pacote de chaves do desenvolvedor.
Os desenvolvedores devem mostrar ID: passaporte, etc. para serem adicionados como desenvolvedores. Eles também precisam construir confiança. Veja a diferença entre mantenedor e desenvolvedor.
Veja aqui para mais informações:https://wiki.debian.org/DebianDeveloperehttps://wiki.debian.org/DebianMaintainer
Responder2
Não está um pouco claro o que você realmente deseja saber, já que parece ter encontrado bons recursos, mas tentarei fornecer uma descrição curta (e não precisa em todos os detalhes) do processo e espero incluir as partes corretas ( Eu não trabalhei com isso nos próprios repositórios do Debian, mas em diferentes iterações de uma configuração em funcionamento, que ficou cada vez maior e mais automatizada, ficando cada vez mais parecida - como eu entendo - com o sistema do Debian). Cada pacote (mantido) no Debian tem um desenvolvedor (ou uma equipe de desenvolvedores), que localmente (ou seja, em sua(s) própria(s) máquina(s) pega o código-fonte original e cria alguns arquivos que detalham como um pacote Debian deve ser feito. coleta isso em um pacote fonte, que ele assina com GPG e carrega para um dos sistemas Debian. Se esse sistema puder verificar se o pacote fonte veio de um desenvolvedor (em virtude de ter uma assinatura válida), ele então envia o pacote fonte para. um host de compilação para cada arquitetura relevante. Esses pacotes, juntamente com quaisquer pacotes binários carregados diretamente pelo desenvolvedor, são então carregados nos repositórios relevantes e distribuídos para espelhos, de onde você os baixa e instala. pacotes (com alguma chave comum, obviamente não pode assinar coisas com as chaves privadas dos desenvolvedores), e o repositório verifica essas assinaturas.