• [^] # Re: et les signatures?

    Posté par (site web personnel, Mastodon) . En réponse à la dépêche Alire, le package manager d'Ada. Évalué à 3.

    Je pense pouvoir dire qu'il n'y a rien de tout ça :)

    La seule chose qu'il y ait est un hash de l'archive du code source récupéré.
    Par exemple, pour aPDF :

    description = "Portable package for producing dynamically PDF documents"
    name = "apdf"
    version = "5.0.3"
    authors = ["Gautier de Montmollin"]
    licenses = "MIT"
    maintainers = ["gdemont@hotmail.com"]
    maintainers-logins = ["zertovitch", "Fabien-Chouteau"]
    project-files = ["pdf_out_gnat_w_gid.gpr"]
    [gpr-externals]
    PDF_Build_Mode = ["Debug", "Fast"]
    [[depends-on]]
    gid = ">=9.0.0"
    [origin]
    url = "https://sourceforge.net/projects/apdf/files/apdf_005_r3.zip"
    hashes = ["sha512:dbe27598986b1744b024803348350e48b9fe14a14b4137796b3bf12fc98e400b45fd16dc3902a5ffbfa407552131bec072c287444889d5984ade6ba6d2d981cf"]

    Après, comment fait-on quand il s'agit de la récupération d'un commit précis dans un dépôt Git ?
    Doit-on vérifier que le commit a bien été signé ?
    Dans le cas d'un dépôt où le nombre de mainteneurs est élevé, doit-on vérifier le commit avec les signatures de chacun des contributeurs ?
    Si on utilise une clé GPG, quid de la date de validité de la clé ?

    Il y a effectivement une réflexion à avoir.

    Pour le typosquatting, il n'y a, à ma connaissance, rien non plus.