[devel] MD5 for tarballs

Alexander Bokovoy =?iso-8859-1?q?a=2Ebokovoy_=CE=C1_sam-solutions=2Enet?=
Вт Сен 17 18:20:38 MSD 2002


On Tue, Sep 17, 2002 at 05:50:57PM +0400, Igor Homyakov wrote:
> > > Почему же не правильно ? Ссылка дается на оригинал, который имеет
> > > "официальную" подпись (check sum). Неправильно как раз перепаковывать
> > Иногда просто невозможно дать ссылку на оригинал, поскольку оригинал мог
> > уже измениться (версия сменилась, старую убрали). Или тарболл получен в
> > результате cvs checkout. Что здесь делать? Просто существует более чем
> > один способ построения тарболла и получения его.
> Всё это решается в рамках package policy.
Что именно? Как Вы собираетесь решать при помощи package policy принципиальное 
отсутствие тарболла на сайте в случае, когда исходники берутся из CVS? Или
наличие еженочно обновляемого тарболла с этим именем, когда пакет
представляет собой слепок на какую-то дату (пример --
ftp://ftp.ruby-lang.org/pub/ruby/snapshot-stable.tar.gz), пусть и
изготавливаемый авторами, но успешно перезаписываемый через определенный
интервал времени.


> > > исходники, т.к в этом случае нет никакой гарантии что tarball оригинальный.
> > Эту гарантию нужно требовать от мейнтейнера, для этого и существует его
> > подпись в пакете.
> Человек может элементарно ошибиться, не говоря уже о том что его
> рабочая станция находиться неизвестно где и что на ней твориться никто не
> знает.
За аутентичность кода, который он отправляет в публичный репозитарий 
и подписывает собственным, заверенным в команде, ключем, разработчик 
несет вполне очевидную ответственность. Хотя бы перед командой.

-- 
/ Alexander Bokovoy
---
I must have slipped a disk -- my pack hurts!



Подробная информация о списке рассылки Devel