— unknown (17/07/2013 10:01) Для пользования сторонними репозиториями рекомендуется соблюдать два условия:
Ссылка на сторонний репозиторий должна быть проставлена на официальном сайте исходного дистрибутива. И желательно не где-нибудь в wiki, куда может делать записи кто-угодно.
Ключ, которым подписываются пакеты стороннего репозитория, должен входить в пакет со связкой ключей официальных разработчиков исходного дистрибутива.
Т.о., нужно протянуть цепочку доверия от вашего дистрибутива к сторонним репозиториям, а не подключать всё подряд. И всё равно помнить о риске того, что сторонний репозиторий может менее тщательно защищаться от взлома или компрометации подписывающих ключей.
— sentaus (17/07/2013 14:01)
Т.о., нужно протянуть цепочку доверия от вашего дистрибутива к сторонним репозиториям,
А как быть в случае, если хочется подключить репозиторий непосредственно производителя какой-то программы, который сам и сопровождает этот репозиторий? Цепочки доверия от вашего дистрибутива к репозиторию производителя может и не быть. Всё равно в итоге приходится ориентироваться на подлинность ключа и доверие владельцу репозитория.
Например, сборки deb-пакетов в торпроджекте ведёт Peter Palfrader, который является сборщиком пакетов в офиц. Debian, ключ которого есть в списке ключей разработчиков Debian и его e-mail, привязанный к ключу также есть и в debian-домене.
Так что тот, кто доверяет своему дистрибутиву Debian, может от главного ключа Debian через ключ этого разработчика протянуть цепочку доверия до ключа репозитория Torproject'a и обновлять оттуда актуальные версии Tor.
А как быть в случае, если хочется подключить репозиторий непосредственно производителя какой-то программы, который сам и сопровождает этот репозиторий?
Как быть, если дистрибутив малопопулярен и разработчик программы не входит в число разработчиков вашего дистрибутива через короткую цепочку — сказать трудно.
Вообще — это веская причина сидеть на не самой актуальной версии программы, зато из дистра и ничего лишнего в него со стороны не ставить. А если её вообще нет в дистре, то может и не пользоваться ею.
P.S. Ещё один пример ранее неоднократно обсуждавшейся темы[link2]. Модель доверия OpenPGP оптимально хороша там, где нужна открытость, доверие и репутация, но не подходит там, где нужна анонимность и неотслеживаемость. Поэтому для безопасности открытой разработки свободного ПО именно OpenPGP является самым подходящим решением для скрепления доверия между отдельными разработчиками и организациями.
— Kent (21/07/2013 23:00) UALinux плюёт на лицензии, насколько я вижу.
Некоторые программы, которые они предлагают из своего репозитория, запрещены к распространению из посторонних источников.
— Гость (13/10/2013 00:11) мда, похоже UALinux встраивает трояны и трудноудаляемую навязчивую рекламу, прямо украинский филиал mail.ru
Для пользования сторонними репозиториями рекомендуется соблюдать два условия:
Т.о., нужно протянуть цепочку доверия от вашего дистрибутива к сторонним репозиториям, а не подключать всё подряд. И всё равно помнить о риске того, что сторонний репозиторий может менее тщательно защищаться от взлома или компрометации подписывающих ключей.
А как быть в случае, если хочется подключить репозиторий непосредственно производителя какой-то программы, который сам и сопровождает этот репозиторий? Цепочки доверия от вашего дистрибутива к репозиторию производителя может и не быть. Всё равно в итоге приходится ориентироваться на подлинность ключа и доверие владельцу репозитория.
Например, сборки deb-пакетов в торпроджекте ведёт Peter Palfrader, который является сборщиком пакетов в офиц. Debian, ключ которого есть в списке ключей разработчиков Debian и его e-mail, привязанный к ключу также есть и в debian-домене.
Так что тот, кто доверяет своему дистрибутиву Debian, может от главного ключа Debian через ключ этого разработчика протянуть цепочку доверия до ключа репозитория Torproject'a и обновлять оттуда актуальные версии Tor.
Как быть, если дистрибутив малопопулярен и разработчик программы не входит в число разработчиков вашего дистрибутива через короткую цепочку — сказать трудно.
Вообще — это веская причина сидеть на не самой актуальной версии программы, зато из дистра и ничего лишнего в него со стороны не ставить. А если её вообще нет в дистре, то может и не пользоваться ею.
P.S. Ещё один пример ранее неоднократно обсуждавшейся темы[link2]. Модель доверия OpenPGP оптимально хороша там, где нужна открытость, доверие и репутация, но не подходит там, где нужна анонимность и неотслеживаемость. Поэтому для безопасности открытой разработки свободного ПО именно OpenPGP является самым подходящим решением для скрепления доверия между отдельными разработчиками и организациями.
UALinux плюёт на лицензии, насколько я вижу.
Некоторые программы, которые они предлагают из своего репозитория, запрещены к распространению из посторонних источников.
мда, похоже UALinux встраивает трояны и трудноудаляемую навязчивую рекламу, прямо украинский филиал mail.ru