[devel] регилирование карманов (was: О "..." от потенциального пользователя)

Денис Смирнов mithraen на freesource.info
Вт Июл 17 02:14:13 MSK 2012 

On Mon, Jul 16, 2012 at 05:43:52PM +0400, Sergey V Turchin wrote:

SVT> В кармане с nexuiz может нечаянно появиться новая сборка glibc.
SVT> Как это будет регулироваться, неизвестно.
SVT> Варианты(совокупные):
SVT> 1. На стороне пакетного менеджера. Например, базовую систему, ту на которую 
SVT> apt ругается "Ты уверен?", устанавливать только из репозиториев, подписанных 
SVT> определенныма ключами.
SVT> 2. На стороне сборочной системы кармана. Например, блокирование оприделенного 
SVT> списка пакетов и их провайдов/обсолетов.
SVT> 3. На веб-странице кармана. Например, набор логотипов на видном месте, 
SVT> показывающий, является ли источник членом тим, сотрудником ALT или еще каким-
SVT> либо доверенным лицом.

Я бы сделал проще -- использовал виртуальные поддомены для всех карманов,
кроме официальных.

Потому как если нечто скачивается с 'altlinux.org', то понятно, что как
минимум тим, а то и ООО отвечает за качество размещенного там.

Если же скачали с чего-то вроде abc.people.altlinux.org, то отвечает явно
тот самый 'abc', а альт предоставляет лишь хранилище.

Плюс продублировать набором логотипов -- мне эта идея нравится.

А блокирование списка пакетов как мера безопасности не катит. Я с
легкостью соберу пакет с названием nexuiz подменяющий glibc.

Главное что сборка пакета в пакет подразумевает деанонимизацию как минимум
перед кем-то из ООО. Этим мы сводим к минимуму вероятность вредительства.

А вот за качество полностью отвечать невозможно при массовой сборке,
поэтому должна быть явно проведена линия -- вот за это отвечает только
владелец кармана, вот за это уже тим, а вот за это -- ООО.

И я считаю что за карманы отвечают исключительно владельцы карманов, и это
должно быть явно видно.

-- 
С уважением, Денис

http://mithraen.ru/
----------------------------------------------------------------------------
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : отсутствует
Тип     : application/pgp-signature
Размер  : 198 байтов
Описание: Digital signature
Url     : <http://lists.altlinux.org/pipermail/devel/attachments/20120717/c0926e6a/attachment-0001.bin>

Подробная информация о списке рассылки Devel