Мне интересно, кто собирает основные пакеты Debian для распространения. Я знаю, что пакеты должны быть воспроизводимо собираемыми, и я спрашиваю не о конкретных людях, а о процессе в целом (например, как здесь будет задействовано «доверие» и насколько он децентрализован).
Вhttps://lwn.net/Articles/676799/там написано:
В целом Mozilla доверяет разработчикам пакетов Debian использовать здравый смысл для достижения того же качества, что и официальные двоичные файлы Firefox.
Вhttps://wiki.debian.org/Упаковкатам написано:
Пакеты Debian поддерживаются сообществом разработчиков Debian и волонтеров.
Я новичок в Debian, поэтому, если необходимо, отредактируйте этот вопрос.
решение1
Насколько я знаю, я не инсайдер и не эксперт, поэтому читайте ссылки в конце.
Я знаю, что пакеты криптографически подписаны упаковщиком/разработчиками. Это позволяет вашей системе знать, от кого они пришли. В вашей системе есть открытый ключ каждого упаковщика/разработчика Debian. Поэтому между разработчиком и конечным пользователем существует сквозная аутентификация.
Ключи разработчика обмениваются между разработчиками, а затем добавляются в систему путем добавления их в пакет ключей разработчика.
Разработчики должны показать удостоверение личности: паспорт и т. д., чтобы их добавили в качестве разработчиков. Они также должны завоевать доверие. Смотрите разницу между сопровождающим и разработчиком.
более подробную информацию смотрите здесь:https://wiki.debian.org/DebianDeveloperиhttps://wiki.debian.org/DebianMaintainer
решение2
Немного неясно, что именно вы хотите узнать, поскольку вы, судя по всему, нашли хорошие ресурсы, но я постараюсь дать краткое (и не точное во всех деталях) описание процесса и надеюсь, что включу нужные части (я не работал с этим в собственных репозиториях Debian, но в различных итерациях установки на работе, которая становилась все больше и больше автоматизированной, становясь все более и более похожей, насколько я понимаю, на систему Debian). У каждого (поддерживаемого) пакета в Debian есть разработчик (или группа разработчиков), который локально (т. е. на своей машине(ах) берет исходный код upstream и создает несколько файлов, в которых подробно описывается, как должен быть создан пакет Debian. Затем он собирает это в исходный пакет, подписывает его с помощью GPG и загружает в одну из систем Debian. Если эта система может проверить, что исходный пакет поступил от разработчика (благодаря наличию действительной подписи), она затем отправляет исходный пакет на узел сборки для каждой соответствующей архитектуры. Эти пакеты вместе с любыми бинарными пакетами, загруженными непосредственно разработчиком, затем загружаются в соответствующие репозитории и распространяются по зеркалам, откуда вы их загружаете и устанавливаете. Узел сборки также подписывает пакеты сборки (неким общим ключом, он, очевидно, не может подписывать что-либо с помощью закрытых ключей разработчиков), а репозиторий проверяет эти подписи.