[devel] giter-factory: pkg_build_status
Dmitry V. Levin
ldv на altlinux.org
Чт Авг 30 19:54:19 MSD 2007
On Thu, Aug 30, 2007 at 07:24:27PM +0400, Alexey Tourbin wrote:
> On Thu, Aug 30, 2007 at 07:12:42PM +0400, Dmitry V. Levin wrote:
> > On Thu, Aug 30, 2007 at 04:44:44PM +0400, Alexey Tourbin wrote:
[...]
> > > Скажешь не может такого быть? А вот сделаю такой пакет и будет.
> > > Назову его foobar.
> >
> > А что мешает делать так уже сейчас?
>
> Ничто не мешает.
Если пренебречь всякими provides/obsoletes, то можно предложить такую
проверку:
Проверяются права согласно имени собранного srpm-пакета.
Кроме того, для каждого собранного бинарного пакета,
если бинарный пакет с таким именем уже есть в репозитории, то
проверяются права согласно имени соответствующего ему srpm-пакета.
Поясню на примере. Если ты отправляешь на сборку тэг, из которого
собирается srpm-пакет по имени foobar и бинарный пакет по имени
glibc-core, то результат сборки будет пропущен только если ты можешь
публиковать foobar И glibc.
> Сборочная система должна быть надёжной, особенно в отсутствиe человека,
> который регулярно проверяет результат (перед публикацией). Это значит,
> что система должна быть устойчива к атакам, особнно к атакам типа
> подмены и фальсификации.
>
> Вот приходится выдумывать, какие могут быть атаки на фальсификацию.
А что, давайте придумывать.
> Как бороться с "неопределённым" именем в Name? Я уже предложил решение:
> пакет собирается на всех архитектурах; после этого все srpm_NSVR должны
> совпадать. Несовпадение srpm_NSVR на разных архитектурах означает атаку
> на фальсификацию имени пакета.
Хорошая проверка, но не достаточная.
--
ldv
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : отсутствует
Тип : application/pgp-signature
Размер : 189 байтов
Описание: отсутствует
Url : http://lists.altlinux.org/pipermail/devel/attachments/20070830/6f17aab2/attachment.bin
Подробная информация о списке рассылки Devel