Canonical(および/またはDebian)は、メインリポジトリとユニバースリポジトリのすべてのパッケージが常にソースからビルドされるか、検証されるという保証を提供するのだろうか。 (決定論的または署名された再現性のあるビルドの場合)他の人によってコンパイルされたバイナリを含めるだけではなく(これは、コンパイルプロセスで怪しげなことや不明確なことをしたり、外部で何かを使用したりしないように、それらを信頼する必要があることを意味します署名用の秘密鍵以外の公開ソースリポジトリ(該当する場合)。
これに関するDebianとUbuntuのポリシーは何ですか?この問題に関する公式のページや声明はありますか?私は彼らが少なくともメインのためにそれをすることを期待します、しかし宇宙はどうですか?宇宙から何かをインストールするとき、私は誰を「信頼」しているのですか(彼らがコンパイルしたと主張するものを提供するため)? Canonical / Debianだけですか、それとも作者自身ですか?
関連:(再現性のあるビルドで見つけたいくつかの情報、ほとんどが古い)
- Ubuntuは再現可能なビルドで動作しますか?
- Ubuntuは決定論的ですか?なぜですか?
- https://wiki.debian.org/ReproducibleBuilds/History#A2016_and_2017
- https://isdebianreproducibleyet.com/
- https://reproducible-builds.org/projects/#affiliated-projects
承認された回答:
メインおよびユニバースのパッケージは、ソースからランチパッドビルドファームにビルドされます。自分で見つけることができるので、これの確認を求める必要はありません。
たとえば、bind
の最新のビルドを書いている時点で Ubuntu 20.04 LTS(Focal)にアップロードされるのは1:9.16.1-0ubuntu2.5です。これは、focus-changesの公開メーリングリストで確認できます。具体的には、ソースファイルとビルド、およびサポートされているすべてのアーキテクチャのビルドログを確認できるlaunchpadにリンクするこの投稿。たとえば、そのバージョンのパッケージのamd64ビルドは、ビルドログとともにここにあります。
Ubuntuのすべてのリリースのすべてのパッケージに対してこのプロセスを繰り返すことができます。
メインとユニバースについて説明しましたが、同じことが制限付きパッケージとマルチバースパッケージにも当てはまります。これらのパッケージもランチパッド上に構築されています。ただし、フリーでないコンポーネントが含まれている可能性があるため、「ソースから」ビルドされる保証はありませんが、バイナリコンポーネントが含まれている場合でも、それぞれにソースパッケージがあります。
関連:VirtualBoxに特定のユーザーのみにアクセスを許可しますか?