Katakanlah ada aplikasi open-source dengan binari yang tersedia di .tar.xz format, tetapi bukan sebagai .deb kemasan. Dan ada .deb paket dalam repositori Debian SW tampaknya dibangun oleh komunitas Debian.
Mengingat saya memercayai aplikasi itu sendiri, dapatkah saya juga memercayai versinya di repositori Debian? Tim Debian mengklaim bahwa mereka "memperhatikan keamanan dengan sangat serius". Padahal, bagaimana tampilannya dalam praktik? Dapatkah saya memastikan bahwa tim keamanan meninjau semua paket yang dikirimkan dan memverifikasi bahwa kode tersebut tidak diubah sebelum dikemas? Atau apakah mereka hanya bereaksi (misalnya menghapus paket dari repo) pada suatu insiden?
(Untuk mengantisipasi pertanyaan:sebaiknya gunakan .deb paket, karena menyederhanakan pembaruan dan pemeliharaan keseluruhan).
Jawaban yang Diterima:
Tim Keamanan Debian tidak meninjau semua paket sebelum diunggah karena mereka adalah sekelompok kecil sukarelawan dan ada lebih dari 67.000 paket dalam arsip. Saya juga tidak mengetahui adanya distro Linux lain (atau proyek atau distributor besar lainnya) yang memiliki prosedur seperti itu.
Namun, daemon build Debian memang membangun setiap paket dari sumbernya, sehingga Anda dapat mengunduh paket sumber (dengan apt-get source PACKAGENAME ) dan verifikasi tarball dan patch seperti yang Anda harapkan. Semua paket sumber ditandatangani secara kriptografis, seperti halnya arsip, sehingga Anda dapat yakin bahwa paket tersebut tidak dimodifikasi dari sumber yang diunggah.
Debian juga memiliki inisiatif untuk membangun semua paket secara reproduktif sehingga Anda dapat menghasilkan paket identik bit-untuk-bit sendiri dan memverifikasi bahwa tidak ada yang diubah. Ada daftar paket yang dapat dibuat dan tidak dibangun secara reproduktif.
Secara umum, Debian secara luas dianggap sebagai sumber binari yang dapat dipercaya dan banyak organisasi besar menggunakannya, meskipun tentu saja Anda harus membuat keputusan sendiri. Jika Anda benar-benar membutuhkan setiap paket biner dan biner yang diaudit, maka Anda harus mengelolanya sendiri, karena saya tidak yakin distributor OS dengan ukuran berapa pun menyediakan layanan tersebut.