나는 배포용 데비안 메인 패키지를 누가 만드는지에 관심이 있습니다. 나는 패키지가 재현 가능하게 구축 가능해야 한다는 것을 알고 있습니다. 특정 개인에 대해 묻는 것이 아니라 일반적인 프로세스(예: 여기서 "신뢰"가 어떻게 관련되고 얼마나 분산되어 있는지)에 대해 묻는 것입니다.
존재하다https://lwn.net/Articles/676799/그것은 말한다:
더 일반적으로, Mozilla는 데비안 패키저가 공식 Firefox 바이너리와 동일한 품질을 달성하기 위해 최선의 판단을 내릴 것이라고 믿습니다.
존재하다https://wiki.debian.org/Packaging그것은 말한다:
데비안 소프트웨어 패키지는 개발자와 자원봉사자로 구성된 데비안 커뮤니티에서 관리합니다.
저는 데비안을 처음 사용하므로 필요한 경우 이 질문을 편집하십시오.
답변1
제가 아는 한, 저는 내부자나 전문가가 아니므로 마지막에 있는 링크를 읽어보시기 바랍니다.
나는 패키지가 패키지 작성자/개발자에 의해 암호화 방식으로 서명되었음을 이해합니다. 이를 통해 시스템은 그 메시지가 누구에게서 왔는지 알 수 있습니다. 여러분의 시스템에는 모든 데비안 패키저/개발자의 공개 키가 있습니다. 따라서 개발자와 최종 사용자 간에 엔드투엔드 인증이 이루어집니다.
개발자 키는 개발자 간에 교환된 다음 개발자 키백에 추가하여 시스템에 추가됩니다.
개발자는 개발자로 추가되기 위해 신분증(여권 등)을 제시해야 합니다. 또한 신뢰를 구축해야 합니다. 관리자와 개발자의 차이점을 확인하세요.
자세한 내용은 여기를 참조하세요.https://wiki.debian.org/DebianDeveloper그리고https://wiki.debian.org/DebianMaintainer
답변2
좋은 리소스를 찾은 것 같아서 실제로 알고 싶은 것이 무엇인지는 다소 불분명하지만 프로세스에 대해 간략하게(모든 세부 사항이 정확하지는 않음) 설명하고 해당 부분이 올바르게 처리되기를 바랍니다. 아직 데비안 자체 저장소에서는 이것을 사용하지 않았지만 직장에서 설정을 여러 번 반복하면서 더 커지고 자동화되었으며 점점 더 - 내가 이해하는 바에 따르면 - 데비안 시스템과 비슷해졌습니다. 데비안의 모든 (관리되는) 소프트웨어 패키지에는 업스트림 소스 코드를 로컬에서(즉, 자신의 컴퓨터에서) 가져와 데비안 소프트웨어가 Bag으로 만들어지는 방법을 자세히 설명하는 문서를 생성하는 개발자(또는 개발자 팀)가 있습니다. 그런 다음 그는 그것을 소스 패키지로 수집하고 GPG를 사용하여 서명하고 Debian 시스템 중 하나에 업로드합니다. 그리고 해당 시스템이 소스 패키지가 개발자로부터 온 것인지(유효한 서명을 사용하여) 확인할 수 있으면 소스 패키지가 도착하도록 보냅니다. 개발자가 직접 업로드한 바이너리 패키지와 함께 이러한 패키지는 관련 저장소에 업로드되고 미러에 배포되며, 여기에서 다운로드하여 설치할 수 있습니다. 패키지(일부 공개 키를 사용하면 분명히 개발자의 개인 키로 서명할 수 없음) 저장소가 해당 서명을 확인합니다.