Ouais bonne remarque :)
Et vu le peu de comm "publique" (seulement linuxfr.org, le reste s'étant fait au sein de nos assoces et par mails persos), c'est plutôt correct.
> Gentoo serait à la ramasse par rapport à Debian. Nooon, pas possible !
Non non, ce n'est pas ça... depuis des lustres, gentoo fournit un hash MD5 de ses paquets de sources :
- le hash est sous /usr/portage/cat/nom_du_paquet/Manifest et est téléchargé lors du "emerge sync" sur les serveurs rsync.
- le paquet est téléchargé lors du "emerge blah" donc sur d'autres serveurs : ceci est clairement un point positif niveau sécu sur ce que faisait debian.
L'histoire de la signature GPG concerne la certification de l'intégrité des ebuilds ("emerge sync"...), et également des fichiers téléchargés lors du emerge sync (parfois quelques mini-patches en particulier).
En fait les ebuilds pouvaient être modifiés par l'administrateur d'un miroir gentoo sans que personne n'y prenne garde... (!) Et, même si ce ne sont pas des programmes au sens de "paquet logiciel", les ebuilds sont des scripts qui s'exécutent, doooonc...
M'enfin, à force de mettre des signatures partout, on ne pourra bientôt plus modifier à la main les ebuilds et les patches sur sa propre machine (par exemple pour ajouter un patche perso ou modifier les options du ./configure), ça risque de devenir pénible :( Enfin, on verra...
[^] # Re: FedeRez
Posté par Raphael Marichez . En réponse à la dépêche Journée FedeRez 2006 le jeudi 16 mars à Polytechnique. Évalué à 1.
Et vu le peu de comm "publique" (seulement linuxfr.org, le reste s'étant fait au sein de nos assoces et par mails persos), c'est plutôt correct.
Promis, la prochaine fois on écrit dans 01info :þ
[^] # Re: Devons-nous nous méfier des logiciels Open Source ?
Posté par Raphael Marichez . En réponse au journal Devons-nous nous méfier des logiciels Open Source ?. Évalué à 1.
Non non, ce n'est pas ça... depuis des lustres, gentoo fournit un hash MD5 de ses paquets de sources :
- le hash est sous /usr/portage/cat/nom_du_paquet/Manifest et est téléchargé lors du "emerge sync" sur les serveurs rsync.
- le paquet est téléchargé lors du "emerge blah" donc sur d'autres serveurs : ceci est clairement un point positif niveau sécu sur ce que faisait debian.
L'histoire de la signature GPG concerne la certification de l'intégrité des ebuilds ("emerge sync"...), et également des fichiers téléchargés lors du emerge sync (parfois quelques mini-patches en particulier).
En fait les ebuilds pouvaient être modifiés par l'administrateur d'un miroir gentoo sans que personne n'y prenne garde... (!) Et, même si ce ne sont pas des programmes au sens de "paquet logiciel", les ebuilds sont des scripts qui s'exécutent, doooonc...
M'enfin, à force de mettre des signatures partout, on ne pourra bientôt plus modifier à la main les ebuilds et les patches sur sa propre machine (par exemple pour ajouter un patche perso ou modifier les options du ./configure), ça risque de devenir pénible :( Enfin, on verra...