¿Los paquetes APT en Main y Universo siempre garantizan ser construidos a partir de la fuente de Ubuntu o Debian Manteiners? -- apt campo con software-installation campo con repository campo con official-repositories campo con open-source camp askubuntu Relacionados El problema

Are apt packages in main and universe ALWAYS guaranteed to be built from source by Ubuntu or Debian mantainers?


6
vote

problema

Español

Me pregunto si Canonical (y / o Debian) proporciona cualquier tipo de garantía de que todos los paquetes en los repositores principales y de universo son siempre construidos de origen por sí mismos, o verificados por ellos (en caso de determinista o firmada compilación reproducible ) en lugar de simplemente incluyendo binarios compilados por otros (lo que implica que También tiene que confiar en ellos, para no estar haciendo algo sombreado o poco claro en su proceso de compilación, o usando nada fuera de la fuente pública, que no sean claves privadas para la firma, donde corresponda).

¿Cuáles son las políticas de Debian y Ubuntu sobre esto? ¿Tienen alguna páginas o declaraciones oficiales sobre este asunto? Espero que lo hagan al menos para Main, pero ¿qué pasa con el universo? ¿A quién estoy confiando "(para proporcionar lo que afirman haber compilado) cuando instalo algo del universo? ¿Sólo canónico / debian o también los propios autores?

relacionado: (alguna información que encontré en las compilaciones reproducibles, en su mayoría viejas)

  • ¿El trabajo de Ubuntu con las compilaciones reproducibles?
  • ¿Las estructuras de Ubuntu son deterministas? ¿Por qué no?
  • https://wiki.debian.org/reproductiblebuilds/history#a2016_and_2017 < / li>
  • https://isdebianreproductableyet.com/
  • https://reproductible-builds.org/projects/#affiliated-projects
Original en ingles

I wonder if Canonical (and/or Debian) provide any sort of guarantee that all packages in main and universe repos are always either built from source by themselves, or verified by them (in case of deterministic or signed reproducible builds) as opposed to just including binaries compiled by others (which implies that you have to trust them, as well, to not be doing something shady or unclear on their compilation process, or using anything outside the public source repo other than private keys for signing, where applicable).

What are Debian and Ubuntu's policies on this? Do they have any official pages or statements on this matter? I'd expect them to do it at least for main, but what about universe? Who am I "trusting" (to provide what they claim to have compiled) when I install something from universe? Just Canonical/Debian or also the authors themselves?

Related: (some info I found on reproducible builds, mostly old)

  • Will Ubuntu work with reproducible builds?
  • Are Ubuntu builds deterministic? Why not?
  • https://wiki.debian.org/ReproducibleBuilds/History#A2016_and_2017
  • https://isdebianreproducibleyet.com/
  • https://reproducible-builds.org/projects/#affiliated-projects
              
       
       

Lista de respuestas

8
 
vote
vote
La mejor respuesta
 

Los paquetes en Main y Universo están construidos en la granja de construcción de launchpad, desde Fuente. No necesitas pedir la verificación de esto, ya que puedes encontrarlo tú mismo.

Por ejemplo, en el momento de escribir la construcción más reciente de bind subido a Ubuntu 20.04 LTS (FOCAL) es 1: 9.16.1-0ubuntu2.5. Puede ver esto a través de la Cambios focales Lista de correo pública. Específicamente esta publicación que enlaza a launchpad donde puede ver los archivos de origen y construir, y construir registros para Cada arquitectura apoyada. Por ejemplo, la construcción AMD64 para esa versión de ese paquete se encuentra aquí con el registro de compilación aquí .

Puede repetir este proceso para cada paquete en cada lanzamiento de Ubuntu.

Mientras mencioné el principal y el universo, lo mismo es cierto de los paquetes restringidos y multiverso, que también se basan en launchpad. Sin embargo, pueden contener componentes no libres, por lo que no se garantiza que se cree "de la fuente", pero hay un paquete de origen para cada uno, incluso si contiene algunos componentes binarios.

 

Packages in main and universe are built in the launchpad build farm, from source. You don't need to ask for verification of this as you can find it yourself.

For example, at the time of writing the most recent build of bind uploaded to Ubuntu 20.04 LTS (Focal) is 1:9.16.1-0ubuntu2.5. You can see this via the focal-changes public mailing list. Specifically this post which links to launchpad where you can see the source files and builds, and build logs for every supported architecture. For example the amd64 build for that version of that package is found here with the build log here.

You can repeat this process for every package in every release of Ubuntu.

While I mentioned main and universe, the same is true of restricted and multiverse packages, which are also built on launchpad. However they may contain non-free components, so aren't guaranteed to be built "from source", but there is a source package for each, even if it contains some binary components.

 
 
       
       
1
 
vote

Desde la perspectiva de Debian: todos los paquetes se basan en nuestros servidores dedicados (BuildD's). Los paquetes que no están construidos en los BuildD no se les permite mudarse a las pruebas y entrar en una liberación estable. Además, cada paquete construido desde aproximadamente 2018 incluye un archivo .buildInfo: mientras que esto no garantiza las compilaciones reproducibles, las permiten. Todos los paquetes en Bullseye tienen este archivo, gracias a un esfuerzo reciente por parte de un desarrollador de Debian para activar esas reconstrucciones para paquetes raramente actualizados (por ejemplo, paquetes de fuentes).

En general, las personas en Debian son grandes fanáticos de las compilaciones reproducibles, y muchas de las personas que las empujan son parte del proyecto. Las herramientas para la reproducibilidad de la construcción se integran en la infraestructura: por ejemplo, los paquetes se construirán típicamente con marcas de tiempo estandarizadas, y pronto se construirán con ubicaciones estandarizadas.

 

From the Debian perspective: all packages are built on our dedicated servers (buildd's). Packages that are not built on the buildd's are not allowed to move into Testing and get into a stable release. Furthermore, every package built since about 2018 includes a .buildinfo file: while this doesn't guarantee reproducible builds, it does enable them. All packages in Bullseye have this file, thanks to a recent effort by a Debian developer to trigger those rebuilds for rarely-updated packages (eg, font packages).

As a whole, the folks at Debian are big fans of reproducible builds, and a lot of the people pushing them are part of the project. Tools for build reproducibility are integrated into the infrastructure: for instance, packages will typically be built with standardized timestamps, and will soon be built with standardized locations.

 
 

Relacionados problema

2  Alternativa a TeamViewer  ( Alternative to teamviewer ) 
Necesito un consejo sobre la aplicación alternativa para TeamViewer. Para mí es importante tener tales características como: capacidad para controlar las P...

133  Herramienta de línea de comandos para recortar archivos PDF  ( Command line tool to crop pdf files ) 
Estoy buscando una herramienta de línea de comandos de código abierto para recortar el archivo PDF como podemos hacer en Adobe Acrobat Pro. He intentado pdftk...

16  Solicitud de Skype de código abierto  ( Open source skype application ) 
Estoy buscando una aplicación de Skype de código abierto que pueda usar en lugar de la beta actual que tenemos que instalar. ...

1  Sin sonido a través de HDMI usando Xubuntu 13.04 32 bits AMD MESA 9.2  ( No sound via hdmi using xubuntu 13 04 32 bit amd mesa 9 2 ) 
Esto es a través de controladores de código abierto. Según X.org Fundación Sitio web, dice que el audio HDMI está "hecho". No obtengo ningún sonido usando ...

7  ¿Qué software de hilo simple puedo usar para producir una bonita visualización de datos?  ( What simple floss software can i use to produce nice data visualization ) 
Estoy buscando aquí la mejor aplicación simple e intuitiva que está diseñada para producir gráficos de aspecto ordenado, por ejemplo, "Número de usuarios de U...

0  Controlador de código abierto para AMD Radeon HD 6490M  ( Open source driver for amd radeon hd 6490m ) 
Tengo una computadora portátil HP ProBook 4530S con tarjeta gráfica AMD Radeon HD 6490M. Después de instalar Ubuntu se ejecuta en los gráficos Intel Sandybrid...

1  Gestión de inventario / software de inventario de código abierto libre?  ( Free open source inventory management invoicing software ) 
Estoy buscando una solución de software gratuita para mi tienda. Básicamente, lo necesito para hacer facturas, administrar el stock y un cliente DB. Si existe...

2  Descargar la fuente para construir la aplicación yo mismo  ( Download source to build application myself ) 
Muchos proyectos de código abierto proporcionan su código fuente en diferentes versiones, para los diversos sistemas como Windows, Debian, Fedora, etc. Desde ...

3  ¿Cómo configuro mi laptop para doble arranque?  ( How do i set up my laptop for dual boot ) 
Supongo que para comprar una computadora portátil y desea instalar Linux OS (no se decide qué distribución usar), y tengo un gran volumen de datos con la unid...

2  ¿Cómo hacer mi propio nuevo sistema operativo basado en Ubuntu?  ( How to make my own new ubuntu based operating system ) 
Quiero hacer mi propio nuevo sistema operativo basado en Ubuntu. ¡Con un nuevo tema personalizado y muchos softwares pre-construido! ¿Puedo hacerlo solo con U...




© 2022 respuesta.top Reservados todos los derechos. Centro de preguntas y respuestas reservados todos los derechos