Là où Archlinux (surtout pacman en fait) innove c'est qu'il vérifie la chaîne de signature complète des paquets. Les packages manager comme apt utilisent gpgv qui suppose que toutes les clefs publiques importées dans votre keyring sont de confiance (source man page). C'est, à mon avis, pas très efficace parce que si on nous donne une clef au nom d'un développeur, rien ne nous garanti que c'est la bonne sans faire des recherches contraignantes.
Pacman utilise gpgme qui vérifie toute la chaîne. J'importe les 5 master keys que je vérifie autant que possible, après les développeurs ont leurs clef signées par au moins 3 des 5 master keys, condition pour faire confiance à une clef.
# Mieux que les autres
Posté par mart-e . En réponse à la dépêche Arch Linux signe ses paquets !. Évalué à 10. Dernière modification le 05 juin 2012 à 17:45.
Là où Archlinux (surtout pacman en fait) innove c'est qu'il vérifie la chaîne de signature complète des paquets. Les packages manager comme apt utilisent gpgv qui suppose que toutes les clefs publiques importées dans votre keyring sont de confiance (source man page). C'est, à mon avis, pas très efficace parce que si on nous donne une clef au nom d'un développeur, rien ne nous garanti que c'est la bonne sans faire des recherches contraignantes.
Pacman utilise gpgme qui vérifie toute la chaîne. J'importe les 5 master keys que je vérifie autant que possible, après les développeurs ont leurs clef signées par au moins 3 des 5 master keys, condition pour faire confiance à une clef.
Donc super arch !