.tar.xzで利用可能なバイナリを備えたオープンソースアプリケーションがあるとします。 フォーマットしますが、.debとしてではありません パッケージ。そして、.debがあります どうやらDebianコミュニティによって構築されたDebianSWリポジトリのパッケージ。
アプリケーション自体を信頼しているとすると、Debianリポジトリ内のそのバージョンも信頼できますか? Debianチームは、「セキュリティを非常に真剣に受け止めている」と主張しています。しかし、実際にはどのように見えますか?セキュリティチームが提出されたすべてのパッケージを確認し、梱包する前にコードが変更されていないことを確認できますか?それとも、インシデントにのみ反応しますか(たとえば、リポジトリからパッケージを削除します)?
(質問を予測するには:.debを使用すると便利です パッケージ。更新と全体的なメンテナンスが簡素化されるためです。
承認された回答:
Debianセキュリティチームは、ボランティアの小さなグループであり、アーカイブに67,000を超えるパッケージがあるため、アップロードする前にすべてのパッケージを確認するわけではありません。このような手順を備えた他のLinuxディストリビューション(または他の主要なプロジェクトやディストリビューター)も知りません。
ただし、Debianビルドデーモンはそのソースからすべてのパッケージをビルドするため、ソースパッケージをダウンロードできます(apt-get source PACKAGENAMEを使用) )そして、tarballとパッチが期待どおりであることを確認します。すべてのソースパッケージは、アーカイブと同様に暗号で署名されているため、アップロードされたソースからパッケージが変更されていないことを確認できます。
Debianには、すべてのパッケージを再現可能にビルドするイニシアチブもあります。これにより、ビットごとに同一のパッケージを自分で作成し、改ざんされていないことを確認できます。再現性のあるビルドを行うパッケージと行わないパッケージのリストがあります。
一般に、Debianは信頼できるバイナリのソースと広く見なされており、多くの主要な組織がそれを使用していますが、もちろん、自分で判断する必要があります。すべてのバイナリおよびバイナリパッケージを本当に監査する必要がある場合は、どのサイズのOSディストリビューターもそのサービスを提供しているかどうかわからないため、自分で管理する必要があります。