[devel] Как узнать, что пакет установлен из репозитория?

Dmitry V. Levin ldv на altlinux.org
Вт Май 2 12:04:10 MSK 2023


On Tue, May 02, 2023 at 12:31:03PM +0400, Gleb Fotengauer-Malinovskiy wrote:
> On Tue, May 02, 2023 at 10:46:57AM +0300, Dmitry V. Levin wrote:
> > On Tue, May 02, 2023 at 08:31:43AM +0300, Danil Shein wrote:
> > > Мы сначала и использовали SHA1, но перешли на новую схему хэшей, т.к. 
> > > пошли коллизии из-за того, что не всегда при пересборке пакетов меняется 
> > > SHA1 хэш, а нам нужен уникальный признак каждого пакета.
> > 
> > Интересно, а что тогда меняется в пакете, если SHA1 в нём не меняется?
> 
> Получается, что меняется как раз только подпись и это один и тот же пакет,
> который сборочница почему-то переподписала?
> Потому что если бы пакет пересобрался, то поменялся бы ещё и buildtime, а
> из-за него и sha1header.

SOURCE_DATE_EPOCH overrides buildtime.
Так что в случае rebuild и хорошо воспроизводимой сборки получится пакет
с тем же sha1header, но с более свежей подписью.


-- 
ldv


Подробная информация о списке рассылки Devel