[devel] Как узнать, что пакет установлен из репозитория?

[Alexey Shabalin]

пт, 28 апр. 2023 г. в 12:42, Paul Wolneykien <manowar на altlinux.org>:
>
> В Fri, 28 Apr 2023 09:37:12 +0300
> Anton Farygin <rider на basealt.ru> пишет:
>
> > On 28.04.2023 01:26, Dmitry V. Levin wrote:
> > > Непонятно, зачем хочется это знать, особенно если ...
> >
> > Хочется иметь ответ на вопрос - установленный пакет установлен из
> > официального репозитория или собран кем-то на стороне.
> >
> > Я не пойму как это можно было бы вычислить с помощью апта, у которого
> > подпись репозитория меняется ежедневно.
>
>   А почему, всё-таки, недостаточно подписи пакета на сборочнице? Если
> пакет собран на стороне, то он не может быть подписан ключом сборочницы.
> Разве что тот, кто собирает на стороне, имеет доступ к секретному ключу
> сборочницы — но это очень ограниченный круг людей, так ведь?

Может потому что даже наш собственный rpm не знает какими ключами
подписаны наши пакеты?
rpm --checksig Sisyphus/x86_64/RPMS.classic/mc-4.8.28-alt1.x86_64.rpm
Sisyphus/x86_64/RPMS.classic/mc-4.8.28-alt1.x86_64.rpm: (RSA) sha1 md5
(GPG) НЕ ОК (ОТСУТСТВУЮТ КЛЮЧИ: RSA#da2773bb GPG#da2773bb)

>   Прошу прощения, если это уже было, а я проглядел.

-- 
Alexey Shabalin