On giovedì 18 gennaio 2018 11:43:41 CET Ivan Tarozzi wrote: > 2 - aggiungiamo la chiave pgp del repo esterno, OK. Ma come possiamo > essere sicuri che il sw contenuto nel repository terze parti sia sicuro > ed esente da backdoor o altro? > > 3 - è un sistema che si basa sulla fiducia e sulla massa critica (della > serie mi fido degli sviluppatori di quel progetto) o esiste qualcuno che > periodicamente compila i sorgenti di un certo sw e lo confronta con > quello pubblicato in binario? Dalla mia poca esperienza dall'altro lato (nel senso che mi sono creato un mio repo personale), ti posso dire che non c'è nessun controllo ne ci può essere. Così come chiunque può aprire un sito internet e pubblicarci quello che vuole, allo stesso modo può pubblicare un repository e metterci i pacchetti che preferisce. Come dici tu e ti ha confermato Gabriele è un sistema che si basa sulla fiducia e sulla massa critica, ci si può fidare per via della popolarità. Tra l'altro quasi tutte le istruzioni di istallazione che si trovano (come nell'esempio che hai riportato) indicano come primo passo l'istruzione per l'aggiunta della chiave pgp del repo esterno e i meno esperti la eseguono senza sapere di preciso a cosa serva, pensando che sia un passo essenziale dell'installazione. In realtà serve per dire al proprio sistema che quel repo è affidabile, se non ne conosciamo l'affidabilità possiamo anche non darlo, l'istallazione funzionerà ugualmente, solo che ogni volta riceveremo un avviso che stiamo installando un pacchetto la cui affidabilità non è stata garantita. -- Samuele Battarra battarsa@xxxxxxxxxxxx
Attachment:
signature.asc
Description: This is a digitally signed message part.