デプロイ用の Debian メインパッケージを作成する人に興味があります。私はパッケージが再現可能に構築可能でなければならないことを知っています。特定の個人について尋ねるのではなく、一般的なプロセス(たとえば、「信頼」がどのように関連し、どの程度分散しているか)について尋ねることです。
存在するhttps://lwn.net/Articles/676799/それは言う:
より一般的に、Mozilla は Debian パッケージャが公式 Firefox バイナリと同じ品質を達成するために最善の判断を下すと信じています。
存在するhttps://wiki.debian.org/Packagingそれは言う:
Debianソフトウェアパッケージは、開発者とボランティアで構成されたDebianコミュニティによって管理されます。
私はDebianを初めて使用するので、必要に応じてこの質問を編集してください。
答え1
私の知る限り、私はインサイダーや専門家ではないので、最後のリンクを読んでください。
私は、パッケージがパッケージ作成者/開発者によって暗号化方式で署名されたことを理解しています。これにより、システムはそのメッセージが誰から来たのかを知ることができます。あなたのシステムには、すべてのDebianパッケージ/開発者の公開鍵があります。したがって、開発者とエンドユーザーの間でエンドツーエンド認証が行われます。
開発者キーは開発者間で交換され、開発者キーバックに追加することによってシステムに追加されます。
開発者は、開発者として追加されるために身分証明書(パスポートなど)を提示する必要があります。また、信頼を築く必要があります。管理者と開発者の違いを確認してください。
詳しくはこちらをご覧ください。https://wiki.debian.org/DebianDeveloperそしてhttps://wiki.debian.org/DebianMaintainer
答え2
良いリソースを見つけたようで、実際に知りたいことが何であるかは少し不明ですが、プロセスについて簡単に(すべての詳細が正確ではない)説明し、その部分が正しく処理されることを願っています。まだ Debian 独自のリポジトリではこれを使用していませんが、職場での設定を何度も繰り返すことで、より大きく自動化されています. Debian のすべての (管理対象) ソフトウェアパッケージには、上流のソースコードをローカルで (つまり、自分のコンピュータ上で) インポートし、Debian ソフトウェアが Bag でどのように作成されるかを詳しく説明するドキュメントを生成する開発者 (または開発者チーム) があります。その後、彼はそれをソースパッケージとして収集し、GPGを使って署名し、Debianシステムの1つにアップロードします。そして、そのシステムがソースパッケージが開発者から来たのか(有効な署名を使用して)確認できたら、ソースパッケージが到着するように送信します。開発者が直接アップロードしたバイナリパッケージとともに、これらのパッケージは関連リポジトリにアップロードされ、ミラーに配布され、ここからダウンロードしてインストールできます。パッケージ(一部の公開鍵では、明らかに開発者の秘密鍵で署名できません)リポジトリはその署名を確認します。