저는 풍부한 저장소를 가지고 있는 Debian GNU/Linux에서 왔습니다. 따라서 타사 리포지토리를 사용할 필요가 거의 없습니다.
Fedora에서 저를 괴롭히는 것은 컴파일하기 어려운 일부 패키지가 필요하다는 것입니다(시간 및 종속성 체인 측면에서). 이로 인해 RPM Fusion과 같은 타사 저장소를 사용하여 패키지를 설치하는 것이 더 합리적입니다.
내가 걱정하는 것은RPM Fusion 패키지는 신뢰할 수 있고 설치하기에 안전합니까?
"신뢰할 수 있다"는 말은 악성 코드나 행위를 포함하도록 보안과 개인정보를 변조할 수 없다는 것입니다. 아니면 업스트림 코드가 안전한지 확인하는 사람이 있나요?
나는 이런 저장소를 사용하는 데 익숙합니다.Slack빌드그리고우레아 소변 비율빌드 스크립트를 검사하고 진행 상황(다운로드 등)을 확인할 수 있습니다.
RPM Fusion 패키지가 조작되지 않고 빌드되었음을 증명할 수 있습니까? 예를 들어 신뢰할 수 있는 패키지 구축을 담당하는 빌드 스크립트와 CI CD가 있습니다.
답변이 없는 또 다른 (다소) 유사한 질문이 있습니다.Fedora 타사 저장소 RPMFusion의 보안
답변1
RPM Fusion 패키지는 신뢰할 수 있고 설치하기에 안전합니까?
"신뢰할 수 있다"는 말은 악성 코드나 행위를 포함하도록 보안과 개인정보를 변조할 수 없다는 것입니다. 아니면 업스트림 코드가 안전한지 확인하는 사람이 있나요?
변조와 관련하여 고려해야 할 두 가지 측면이 있습니다. 첫 번째는 설치 가능한 바이너리와 소스 코드 간의 관계입니다. 자세한 내용은 아래를 참조하세요. 유지관리자는 자신의 바이너리를 업로드할 수 없으며 모든 바이너리는 빌드 인프라에서 나옵니다. 이는 구축 중인 인프라가 신뢰할 수 있는지 여부에 대한 쉬운 대답이 없는 두 번째 측면으로 이어집니다. 인프라 사용량코지그러나 외부인은 빌드 인프라에서 실행 중인 내용을 검사할 수 없습니다!
업스트림 코드를 확인하는 것은 관리자에게 달려 있습니다.
RPM Fusion 패키지가 조작되지 않고 빌드되었음을 증명할 수 있습니까?
빌드는 아님재생할 수 있는일반적으로 말하면 패키지 빌드 스크립트를 확인할 수 있습니다RPM Fusion Git 저장소, 각 빌드를 추적합니다.코지. 개인 빌드(예를 들어 이 gstreamer 플러그인은 빌드됩니다.)는 빌드된 git 해시를 보여주고 모든 빌드 로그와 아티팩트를 제공하므로 각 단계를 로컬에서 재현하고 결과를 게시된 아티팩트와 비교할 수 있습니다.