Rodrigo Gallardo escribió:
Ok, suponiendo que estás usando repos oficiales, tienes garantizado
que el .deb que descargas es el que el proyecto generó (porque las
listas de paquetes están firmadas por gpg), de modo que sólo requieres
verificar que el binario coincide con el fuente.
1. Puedes descargar el paquete fuente y comparar el .orig.tar.gz con
el del proyecto original.
2. Ve a la página del paquete en Debian
(http://packages.debian.org/<paquete> ) y sígue los vínculos al PTS y
de ahí a los logs de compilación. Ahí puedes ver si el paquete fue
generado por la infraestructura de Debian o por el mantenedor del
paquete. En el primer caso, ya terminaste (a menos que no confies en
la infraestructura de Debian, claro) En el segundo, debes resolver si
confías en el mantenedor.
Y, por supuesto, siempre puedes generar tus propios binarios ;)
Por supuesto que YO confío en Debian ;)
El escenario de la hiper-paranoia sería
los fuentes del paquete X, con las modificaciones de Debian están publicos
Debian compila y empaqueta, pero en ese proceso alguien conocido como
MaloMalo adiciona una orden "plan de dominación mundial" :) y genera el .deb
El .deb se supone que no tenga la orden "plan de dominación mundial"
pero la tiene porque no está en las fuentes publicadas sino en las que
manipuló MaloMalo en el último instante.
por lo que veo de los logs, MaloMalo no tiene forma de incluir su plan
sin ser detectado por otros. O me equivoco?
s...@lu2
Walber
--
><JHS/o>
+-<=<==|
(o_
//\ Linux Registered User
V_/_ #480598
Berimbau VCL <http://berimbauvcl.sourceforge.net>
Just another project to provide Delphi components
() ascii ribbon campaign - against html e-mail
/\ www.asciiribbon.org - against proprietary attachments
--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org