• # Debian, fedora, ... & gpg

    Posté par . En réponse au journal Devons-nous nous méfier des logiciels Open Source ?. Évalué à 6.

    Les packages debian et fedora (surement d'autres, mais je ne connais pas vraimment les autres distributions) integrent un systeme de signature des paquets via gpg.

    Ainsi, meme si le serveur source des packages est touche, a moins que le devellopeur ne se soit fait pirate sa cle gpg, il n'est pas possible (ou pas) de 'patcher' un package.

    Ta reflexion est cependant tres pertinente au niveau du travail fait sur les sources elles-memes. Au niveau des packages proposes par les distributions, il y a moins de chances pour que les sources contiennent une backdoor ou autre. De plus, il me semble qu'il y a partout dans le monde des personnes chargees de l'audit du code de ces fameux logiciels libres.