バイナリがパッケージ.tar.xzではなく形式で提供されるオープンソースアプリケーションがあるとします。 Debian SWリポジトリには、Debianコミュニティによって作成されたように見える.debパッケージがあります。.deb
私はアプリケーション自体を信頼しているので、Debianリポジトリのアプリケーションバージョンも信頼できますか? Debian チームは「セキュリティを非常に重要と考えている」と主張しています。しかし、実際の状況はどうですか?セキュリティチームが送信されたすべてのパッケージを確認し、パッケージングする前にコードが変更されていないことを確認できますか?または、イベントが発生したときにのみ反応します(たとえば、リポジトリからパッケージを削除する)。
(質問を期待してください。この.debパッケージを使用すると、更新と全体的なメンテナンスが簡単になるため有益です。)
ベストアンサー1
Debian Security チームはボランティアの小さなグループで、アーカイブに 67,000 個以上のパッケージがあるため、アップロードする前にすべてのパッケージを確認しません。私はまた、そのようなプロセスを持つ他のLinuxディストリビューション(または他の主要なプロジェクトや出版社)も知りません。
ただし、Debianビルドデーモンはソースから各パッケージをビルドするので、ソースパッケージをダウンロードして(を使用してapt-get source PACKAGENAME)tarballとパッチが期待したものと同じであることを確認できます。すべてのソースパッケージはアーカイブと同様に暗号化方式で署名されているため、アップロードされたソースのパッケージが変更されていないことを確認できます。
Debianにもイニシアチブがありますすべてのパッケージを再現可能にビルドこれにより、同じパッケージを直接作成し、改ざんされていないことを確認できます。一つあるパッケージ一覧繰り返し構築できるものと不可能なものは何ですか?
一般的に、Debian は信頼できるバイナリソースとして広く知られており、多くの主要組織で使用されていますが、もちろん自分で決定を下す必要があります。すべてのバイナリとバイナリパッケージを監査する必要がある場合は、それを直接管理する必要があります。これは、規模に関係なく、オペレーティングシステムの発行者がそのサービスを提供しているかどうかわからないためです。