Saya ingin tahu apakah Canonical (dan/atau Debian) memberikan jaminan apa pun bahwa semua paket di repo utama dan semesta selalu dibangun dari sumber sendiri, atau diverifikasi oleh mereka (dalam kasus build yang dapat direproduksi deterministik atau ditandatangani) sebagai lawan hanya memasukkan binari yang dikompilasi oleh orang lain (yang menyiratkan bahwa Anda harus mempercayai mereka, juga, untuk tidak melakukan sesuatu yang teduh atau tidak jelas pada proses kompilasi mereka, atau menggunakan apa pun di luar repo sumber publik selain kunci pribadi untuk ditandatangani, jika berlaku).
Apa kebijakan Debian dan Ubuntu tentang ini? Apakah mereka memiliki halaman atau pernyataan resmi tentang masalah ini? Saya berharap mereka melakukannya setidaknya untuk utama, tetapi bagaimana dengan alam semesta? Siapa yang saya "percayai" (untuk memberikan apa yang mereka klaim telah dikompilasi) ketika saya menginstal sesuatu dari alam semesta? Hanya Canonical/Debian atau juga penulisnya sendiri?
Terkait:(beberapa info yang saya temukan di build yang dapat direproduksi, sebagian besar sudah tua)
- Apakah Ubuntu akan bekerja dengan build yang dapat direproduksi?
- Apakah Ubuntu membangun deterministik? Mengapa tidak?
- https://wiki.debian.org/ReproducibleBuilds/History#A2016_and_2017
- https://isdebianreproducibleyet.com/
- https://reproducible-builds.org/projects/#affiliated-projects
Jawaban yang Diterima:
Paket-paket di main dan universe dibangun di build farm launchpad, dari sumber. Anda tidak perlu meminta verifikasi untuk ini karena Anda dapat menemukannya sendiri.
Misalnya, pada saat penulisan versi terbaru bind diunggah ke Ubuntu 20.04 LTS (Focal) adalah 1:9.16.1-0ubuntu2.5. Anda dapat melihat ini melalui milis publik perubahan fokus. Khususnya posting ini yang menautkan ke launchpad tempat Anda dapat melihat file sumber dan build, dan membangun log untuk setiap arsitektur yang didukung. Misalnya build amd64 untuk versi paket tersebut ditemukan di sini dengan log build di sini.
Anda dapat mengulangi proses ini untuk setiap paket di setiap rilis Ubuntu.
Sementara saya menyebutkan main dan universe, hal yang sama berlaku untuk paket terbatas dan multiverse, yang juga dibangun di launchpad. Namun mereka mungkin berisi komponen tidak bebas, jadi tidak dijamin dibuat "dari sumber", tetapi ada paket sumber untuk masing-masing, meskipun berisi beberapa komponen biner.
Terkait:Berikan akses VirtualBox ke pengguna tertentu saja?