Je pense pouvoir dire qu'il n'y a rien de tout ça :)
La seule chose qu'il y ait est un hash de l'archive du code source récupéré.
Par exemple, pour aPDF :
description="Portable package for producing dynamically PDF documents"name="apdf"version="5.0.3"authors=["Gautier de Montmollin"]licenses="MIT"maintainers=["gdemont@hotmail.com"]maintainers-logins=["zertovitch","Fabien-Chouteau"]project-files=["pdf_out_gnat_w_gid.gpr"][gpr-externals]PDF_Build_Mode=["Debug","Fast"][[depends-on]]gid=">=9.0.0"[origin]url="https://sourceforge.net/projects/apdf/files/apdf_005_r3.zip"hashes=["sha512:dbe27598986b1744b024803348350e48b9fe14a14b4137796b3bf12fc98e400b45fd16dc3902a5ffbfa407552131bec072c287444889d5984ade6ba6d2d981cf"]
Après, comment fait-on quand il s'agit de la récupération d'un commit précis dans un dépôt Git ?
Doit-on vérifier que le commit a bien été signé ?
Dans le cas d'un dépôt où le nombre de mainteneurs est élevé, doit-on vérifier le commit avec les signatures de chacun des contributeurs ?
Si on utilise une clé GPG, quid de la date de validité de la clé ?
Il y a effectivement une réflexion à avoir.
Pour le typosquatting, il n'y a, à ma connaissance, rien non plus.
[^] # Re: et les signatures?
Posté par Blackknight (site web personnel, Mastodon) . En réponse à la dépêche Alire, le package manager d'Ada. Évalué à 3.
Je pense pouvoir dire qu'il n'y a rien de tout ça :)
La seule chose qu'il y ait est un hash de l'archive du code source récupéré.
Par exemple, pour aPDF :
Après, comment fait-on quand il s'agit de la récupération d'un commit précis dans un dépôt Git ?
Doit-on vérifier que le commit a bien été signé ?
Dans le cas d'un dépôt où le nombre de mainteneurs est élevé, doit-on vérifier le commit avec les signatures de chacun des contributeurs ?
Si on utilise une clé GPG, quid de la date de validité de la clé ?
Il y a effectivement une réflexion à avoir.
Pour le typosquatting, il n'y a, à ma connaissance, rien non plus.