• [^] # Re: PAF !!!!!!!!!

    Posté par (site web personnel) . En réponse à la dépêche Weboob a dix ans !. Évalué à 7.

    Chaque paquet est fait sur la machine du mainteneur du dit paquet.

    Pour le paquet source, c'est parfois le cas. Maintenant, on, Debian, peut vérifier la signature du tarball source upstream. Il y a d'autres techniques aussi disponibles pour s'assurer de ça.
    Depuis la dernière release debian, pour les binaires, on accepte plus de paquet binaire compilé pour la migration testing. Il faut un upload source pour qu'un paquet migre de unstable => testing.
    Les builds reproductibles permettent surtout à quelqu'un de vérifier que, avec la même toolchain, on obtient le même binaire et ainsi qu'il n'y a pas eu d'injection dans le binaire.

    C'est pas parfait mais ça s'améliore.