[devel] giter-factory: pkg_build_status
Alexey Tourbin
=?iso-8859-1?q?at_=CE=C1_altlinux=2Eru?=
Чт Авг 30 19:24:27 MSD 2007
On Thu, Aug 30, 2007 at 07:12:42PM +0400, Dmitry V. Levin wrote:
> On Thu, Aug 30, 2007 at 04:44:44PM +0400, Alexey Tourbin wrote:
> > On Thu, Aug 30, 2007 at 03:33:51PM +0300, Kirill A. Shutemov wrote:
> > > Если приходит запрос на сборку, то смотрим какой пакет лежит в репозитории
> > > для сборки.
> >
> > КАКОЙ ПАКЕТ ЛЕЖИТ В РЕПОЗИТАРИИ ДЛЯ СБОРКИ? В условиях "высокой
> > неопределенности", о которой я говорю, и которая соответствует
> > философии hasher/gear "собирать не глядя", мы не знаем, какой
> > пакет лежит в репозитарии для сборки.
> >
> > %if %(echo $RANDOM) < 999
> > Name: foo
> > %else
> > Name: bar
> > %endif
> >
> > Скажешь не может такого быть? А вот сделаю такой пакет и будет.
> > Назову его foobar.
>
> А что мешает делать так уже сейчас?
Ничто не мешает.
Сборочная система должна быть надёжной, особенно в отсутствиe человека,
который регулярно проверяет результат (перед публикацией). Это значит,
что система должна быть устойчива к атакам, особнно к атакам типа
подмены и фальсификации.
Вот приходится выдумывать, какие могут быть атаки на фальсификацию.
Как бороться с "неопределённым" именем в Name? Я уже предложил решение:
пакет собирается на всех архитектурах; после этого все srpm_NSVR должны
совпадать. Несовпадение srpm_NSVR на разных архитектурах означает атаку
на фальсификацию имени пакета.
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип : application/pgp-signature
Размер : 189 байтов
Описание: =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Url : <http://lists.altlinux.org/pipermail/devel/attachments/20070830/3f4c566c/attachment-0001.bin>
Подробная информация о списке рассылки Devel